← セキュリティ概要へ戻る

脆弱性開示ポリシー

jpcite はセキュリティ報告を歓迎します。問題を確認した場合は、公開 Issue ではなく [email protected] へご連絡ください。

報告に含めてほしい情報

• 問題の概要
• 再現手順または PoC
• 確認した URL、バージョン、commit など
• 掲載希望の名前またはハンドル名 (任意)

対応目標

• 受領確認: 72 時間以内
• 修正目標: サーバー側の問題は 14 日以内、クライアント側は次回 PyPI / DXT リリース
• 公開猶予: 受領確認から 90 日

Safe harbour

善意で、最小限のアクセスに留め、個人情報の閲覧・保存・破壊・公開を避け、修正まで合理的な猶予をいただける報告者に対して、当社は法的措置を取りません。

対象範囲

• https://api.jpcite.com の REST API
• https://jpcite.com の静的サイト
• 公式 jpcite MCP Python package
• 公開 API 出力に影響するデータ取り込み処理

対象外

• 第三者サービス側の脆弱性
• 政府・自治体など一次情報源サイト側の問題
• 現実的でない量のトラフィックを必要とする DoS
• 権限昇格を伴わない self-XSS
• ソーシャルエンジニアリング、物理攻撃

報奨金

現在、金銭的な bug bounty は提供していません。希望がある場合は、修正後のリリースノート等で謝辞を掲載します。