安全
Flutter チームは Flutter とアプリケーションのセキュリティを担当します 真剣に考えて作りました。このページでは、次のような場合の報告方法について説明します。 見つかる可能性のある脆弱性を確認し、最小限に抑えるためのベスト プラクティスをリストします。 脆弱性が導入されるリスク。
セキュリティ哲学
Flutter セキュリティ戦略は、次の 5 つの主要な柱に基づいています。
- 識別: 主要なセキュリティ リスクを追跡し、優先順位を付けます。 コア資産、主要な脅威、脆弱性を特定します。
- 探知: を使用して脆弱性を検出および特定します。 脆弱性スキャンなどの技術やツール、 静的なアプリケーションのセキュリティ テストとファジング。
- 守る: 既知のリスクを軽減することでリスクを排除します 脆弱性を検出し、ソースの脅威から重要な資産を保護します。
- 応答: レポート、トリアージ、および 脆弱性や攻撃に対応します。
- 回復: 封じ込めて回復する機能を構築する 影響が最小限に抑えられたインシデントから。
脆弱性の報告
見つかったセキュリティ脆弱性を報告する前に 静的解析ツールにより、 のリストを確認することを検討してください既知の誤検知。
脆弱性を報告するには、電子メールを送信してくださいsecurity@flutter.dev
問題の説明とともに、
問題を作成するために実行した手順、
影響を受けるバージョン、および既知の場合は問題の軽減策。
3 営業日以内にご返信させていただきます。
GitHub のセキュリティ勧告機能を使用して追跡します 未解決のセキュリティ問題。緊密な連携が期待できる あなたが報告した問題の解決に取り組んでいます。
までご連絡くださいsecurity@flutter.dev
またもしなら
迅速な対応や定期的なアップデートは受けられません。
また、公開サービスを使用してチームに連絡することもできます。Discord チャット チャネル;ただし、問題を報告するときは、
Eメールsecurity@flutter.dev
。
脆弱性に関する情報の漏洩を避けるため
ユーザーを危険にさらす可能性のある公共の場で、Discord に投稿したり、GitHub の問題を提出したりしないでください。
セキュリティの脆弱性への対処方法の詳細については、 私たちのを参照してくださいセキュリティポリシー。
既存の問題をセキュリティ関連としてフラグを立てる
既存の問題がセキュリティ関連であると思われる場合は、
までメールをお送りください。security@flutter.dev
。
電子メールには問題 ID と簡単な説明が含まれている必要があります
このセキュリティ ポリシーに従って処理する必要がある理由について説明します。
サポートされているバージョン
私たちは、次のバージョンのセキュリティ アップデートを公開することに取り組んでいます。
flutterは現在、stable
ブランチ。
期待
セキュリティ問題は P0 優先レベルと同等に扱います 重大なセキュリティ問題に対してベータ版またはホットフィックスをリリースします。 SDK の最新の安定バージョンに含まれています。
以下のような Flutter Web サイトに関して報告された脆弱性 docs.flutter.dev にはリリースは必要ありません。 ウェブサイト自体で修正されています。
Flutter にはバグ報奨金プログラムがありません。
セキュリティアップデートの受信
セキュリティ更新プログラムを受け取る最良の方法は、 flutterアナウンスメーリング リストまたは最新情報を監視するDiscordチャンネル。また、セキュリティアップデートについてもお知らせします。 技術リリースのブログ投稿。
ベストプラクティス
-
最新の Flutter SDK リリースを入手してください。Flutter は定期的に更新されており、これらの更新によりセキュリティが修正される可能性があります 以前のバージョンで発見された欠陥。 flutterをチェックする変更ログセキュリティ関連のアップデート用。
-
アプリケーションの依存関係を最新の状態に保ちます。必ず確認してくださいパッケージの依存関係をアップグレードする依存関係を最新の状態に保つため。 特定のバージョンへの固定を避ける 依存関係がある場合は必ず確認してください 依存関係にセキュリティ更新があるかどうかを定期的に確認します。 それに応じてピンを更新します。
-
Flutter のコピーを最新の状態に保ってください。Flutter のプライベートなカスタマイズされたバージョンの傾向 現在のバージョンより遅れている可能性があります 重要なセキュリティ修正と機能強化が含まれます。 代わりに、Flutter のコピーを定期的に更新してください。 Flutter を改善するために変更を加えている場合は、 必ずフォークを更新し、フォークを共有することを検討してください。 コミュニティとともに変化します。