Bug Bounty Report
Bentleyは、ユーザーのデータセキュリティを確保するとともに、その実現方法について透明性を保つことに取り組んでいます。それを証明するものとして、Bentleyではプライバシーおよびデータの確実な保護、セキュリティ、コンプライアンス基準、各種認定の取得を実現しています。
ベントレー・システムズの責任ある開示プログラムガイドライン
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1.一般的なガイドライン
ベントレー・システムズでは、すべての調査担当者に以下を求めます
- セキュリティ検査中のプライバシー侵害やユーザー体験の低下、本番システムの中断、データの破壊を回避すること。
- 以下に示す範囲内でのみ調査を行うこと。
- 脆弱性の報告に、以下に定義するコミュニケーションチャネルを使用すること。
- 発見したいかなる脆弱性の情報も、修正されるまではお客様とベントレー・システムズによる機密とすること。
- 調査に関連した法的措置を取ったり、支援したりしないこと。
- 問題を迅速に理解し解決するためにお客様に協力すること。
2.行動規範と法的責任
このポリシーに準拠して脆弱性の調査を実施する際、本調査を以下とみなします
- コンピュータ詐欺および不正利用防止法(CFAA)(または類似州法)に準拠したもので、本ポリシーの偶然、善意の違反に対して法的措置を開始または支援しないもの。
- デジタルミレニアム著作権法(DMCA)の適用を除外されたもので、技術管理の回避を理由にお客様に対して請求しないもの。
- セキュリティ調査実施を妨げる利用規約の制限を受けないもので、本ポリシーに基づいて行われる作業について限定的に免除するもの。
- 合法であるもので、インターネットのセキュリティ全体に寄与し、誠実に実施されるもの。
通常通り、適用されるすべての法律を遵守することが求められます。セキュリティ調査が本ポリシーに合致しているかに懸念がある場合はいかなる時でも、先に進む前に、以下に示すコミュニケーションチャネルの1つを使ってレポートを提出してください。
3.範囲/範囲外
| 範囲 | 範囲外 |
|---|---|
|
|
4.対象の脆弱性/対象外
| 対象の脆弱性 | 対象外 |
|---|---|
|
|
*2つのタイムスタンプと1つのサブドメインのスクリーンショットの形式でPoCがある場合にのみ報告してください。このスクリーンショットは、サブドメインが少なくとも1時間空いていたことを証明するものです。スキャンツールはサブドメインが変更されている間の短い時間を捉える場合が多く、脆弱性を示すように見えるかもしれませんが、そうではありません。DNS記録はその後すぐに削除されます。スクリーンショットを提出することで、誤った脆弱性の報告を回避し、お客様と私たちチーム双方の時間を節約できます。
部分的なPoC(タイムスタンプの証明が1つまたはゼロ)のレポートは最初のレポートとして扱われます。
備考!報告されたサブドメインをPoCとして実際にテイクオーバーすることは禁じられています。
5.報告方法
製品またはプラットフォームのうちの1つにセキュリティの脆弱性を見つけたと思われる場合、本ページの書式に記入してください。
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
以下の情報が含まれていることを確認してください:
- URL、完全なHTTPリクエスト/リスポンス、脆弱性のタイプなど脆弱性の詳細の説明。
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- 連絡先情報、氏名、Eメール、電話番号、場所。本情報のない提出については考慮されません。
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6.エンゲージメント規則
- DoCは厳禁となります。
- いかなる形式の認証の総当たりは厳禁となります。
- 報告された脆弱性を修正前に公表することは禁じられています。
- パフォーマンスの破壊や低下、プライバシー侵害またはユーザーおよびデータのインテグリティの侵害は許されません。
- 脆弱性(一般的なPoC以外)の利用は厳禁であり、該当する法律に従い訴追されます。
- 脆弱性により、意図しないデータへのアクセスが可能となった場合は、以下を行う必要があります。
- 概念実証を効果的に示すために必要な最小限にデータへのアクセスを制限し、
- テストを中止し、
- テスト中に個人を特定できる情報(PII)、個人の健康情報(PHI)、クレジットカードデータ、専有
情報などのユーザーのデータに遭遇した場合は、すぐにレポートを提出する。
- Bentleyは、恐喝またはその他の強制的な犯罪行為(例、見つかった脆弱性を悪用しないことを引き換えとする前払いを要求。
7.情報公開
私たちのチームにより脆弱性が解決したと通知されない限り、脆弱性について90日間は公開を控えてください。従わない場合は法的措置が取られます。
8.重複
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9.脆弱性のトリアージ
- 報告された脆弱性が分析されます。
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10.補償
| 脆弱性の例 | 価格帯(米ドル)** |
|---|---|
| ブロッケンアクセス制御(権限昇格) | 250-450 |
| ビジネスロジック問題 | 100-300 |
| クロスオリジンリソース共有(CORS) | 100-200 |
| クロスサイトリクエストフォージェリ(CSRF) | 150-250 |
| クロスサイトスクリプティング(XSS) | 100-200 |
| DLLハイジャッキング | 50 |
| ハイパーリンクインジェクション | 50 |
| 識別と認証 | 250-450 |
| 安全でない直接オブジェクト参照(IDOR) | 250-450 |
| オープンリダイレクト | 50-150 |
| その他 | 0-500 |
| リモートコード実行 | 600 |
| セキュリティ設定ミス | 50-250 |
| 機密データの漏洩 | 50-200 |
| Secrets leak | 200-500 |
| セッション設定ミス | 50-200 |
| SQLインジェクション | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**注:同一問題の複数の事象では、最大3つまでの金額が補償されます。
**製品の環境が異なる(dev-、qa-、prod-)同一問題の報告は1つとして数えられます。
私たちは、本ポリシーをいつ、いかなる理由によっても変更する権利を保留し、すべての報告に対する補償を保証できません。補償はPayPalを通じてのみ提供されます。
重要。有効なPayPalアドレス のみを送信することを確認してください。元のアドレス以外を支払い先とみなすことはできません。何らかの理由で取引ができなかった場合(PayPalの取引拒否、受金銀行が支払いを受け入れられない、上限額に達した、支払いはウェブサイトやその他の指示を通じてしかの受け入れられないなど)、支払いは中止され、 再送金されません。
ベントレー・システムズは、責任ある開示プログラムおよび補償システムを、いつでも事前の通知なしに撤回する権利を保留します。
レポートの提出
目次
ベントレー・システムズでは、すべての調査担当者に以下を求めます
- セキュリティ検査中のプライバシー侵害やユーザー体験の低下、本番システムの中断、データの破壊を回避すること。
- 以下に示す範囲内でのみ調査を行うこと。
- 脆弱性の報告に、以下に定義するコミュニケーションチャネルを使用すること。
- 発見したいかなる脆弱性の情報も、修正されるまではお客様とベントレー・システムズによる機密とすること。
- 調査に関連した法的措置を取ったり、支援したりしないこと。
- 問題を迅速に理解し解決するためにお客様に協力すること。
このポリシーに準拠して脆弱性の調査を実施する際、本調査を以下とみなします
- コンピュータ詐欺および不正利用防止法(CFAA)(または類似州法)に準拠したもので、本ポリシーの偶然、善意の違反に対して法的措置を開始または支援しないもの。
- デジタルミレニアム著作権法(DMCA)の適用を除外されたもので、技術管理の回避を理由にお客様に対して請求しないもの。
- セキュリティ調査実施を妨げる利用規約の制限を受けないもので、本ポリシーに基づいて行われる作業について限定的に免除するもの。
- 合法であるもので、インターネットのセキュリティ全体に寄与し、誠実に実施されるもの。
通常通り、適用されるすべての法律を遵守することが求められます。セキュリティ調査が本ポリシーに合致しているかに懸念がある場合はいかなる時でも、先に進む前に、以下に示すコミュニケーションチャネルの1つを使ってレポートを提出してください。
| 範囲 |
|---|
|
| 範囲外 |
|
| 対象の脆弱性 |
|---|
|
| 対象外 |
|
*2つのタイムスタンプと1つのサブドメインのスクリーンショットの形式でPoCがある場合にのみ報告してください。このスクリーンショットは、サブドメインが少なくとも1時間空いていたことを証明するものです。スキャンツールはサブドメインが変更されている間の短い時間を捉える場合が多く、脆弱性を示すように見えるかもしれませんが、そうではありません。DNS記録はその後すぐに削除されます。スクリーンショットを提出することで、誤った脆弱性の報告を回避し、お客様と私たちチーム双方の時間を節約できます。
部分的なPoC(タイムスタンプの証明が1つまたはゼロ)のレポートは最初のレポートとして扱われます。
備考!報告されたサブドメインをPoCとして実際にテイクオーバーすることは禁じられています。
製品またはプラットフォームのうちの1つにセキュリティの脆弱性を見つけたと思われる場合、本ページの書式に記入してください。
以下の情報が含まれていることを確認してください:
- URL、完全なHTTPリクエスト/リスポンス、脆弱性のタイプなど脆弱性の詳細の説明。
- 問題を再現するための情報。
- 該当する場合、脆弱性のスクリーンショット1つ、および/あるいは動画。
- 連絡先情報、氏名、Eメール、電話番号、場所。本情報のない提出については考慮されません。
- 重要な注意点初回に限りフォームを通じて提出します。フォームで言及されていない質問がある場合は、[email protected]にEメールを送信してください。
- DoCは厳禁となります。
- いかなる形式の認証の総当たりは厳禁となります。
- 報告された脆弱性を修正前に公表することは禁じられています。
- パフォーマンスの破壊や低下、プライバシー侵害またはユーザーおよびデータのインテグリティの侵害は許されません。
- 脆弱性(一般的なPoC以外)の利用は厳禁であり、該当する法律に従い訴追されます。
- 脆弱性により、意図しないデータへのアクセスが可能となった場合は、以下を行う必要があります。
- 概念実証を効果的に示すために必要な最小限にデータへのアクセスを制限し、
- テストを中止し、
- テスト中に個人を特定できる情報(PII)、個人の健康情報(PHI)、クレジットカードデータ、専有
情報などのユーザーのデータに遭遇した場合は、すぐにレポートを提出する。
- Bentleyは、恐喝またはその他の強制的な犯罪行為(例、見つかった脆弱性を悪用しないことを引き換えとする前払いを要求。
私たちのチームにより脆弱性が解決したと通知されない限り、脆弱性について90日間は公開を控えてください。従わない場合は法的措置が取られます。
本ポリシーでは、同一または類似の問題の報告は、最初の調査担当者の報告だけが考慮されます。これには、異なる環境での同一問題(例、dev-、qa-、prod-)が含まれます。
提出物が受領されると:
- 報告された脆弱性が分析されます。
- 提出が有効であり、本ポリシー要件を満たしている場合、お客様は補償を受け取ることができます。
- 問題が修正されれば通知されます。
| 脆弱性の例 | 価格帯(米ドル)** |
|---|---|
| ブロッケンアクセス制御(権限昇格) | 200-400 |
| ビジネスロジック問題 | 100-300 |
| クロスオリジンリソース共有(CORS) | 100-200 |
| クロスサイトリクエストフォージェリ(CSRF) | 100-200 |
| クロスサイトスクリプティング(XSS) | 50-150 |
| ディレクトリトレバーサル | 100-200 |
| DLLハイジャッキング | 100-200 |
| ハイパーリンクインジェクション | 50 |
| 識別と認証 | 200-400 |
| 安全でない直接オブジェクト参照(IDOR) | 200-400 |
| オープンリダイレクト | 50-150 |
| その他 | 0-500 |
| リモートコード実行 | 500 |
| セキュリティ設定ミス | 50-200 |
| 機密データの漏洩 | 50-500 |
| セッション設定ミス | 50-150 |
| SQLインジェクション | 200-400 |
**製品の環境が異なる(dev-、qa-、prod-)同一問題の報告は1つとして数えられます。
私たちは、本ポリシーをいつ、いかなる理由によっても変更する権利を保留し、すべての報告に対する補償を保証できません。補償はPayPalを通じてのみ提供されます。
重要有効なPayPalアドレス のみを送信することを確認してください。元のアドレス以外を支払い先とみなすことはできません。何らかの理由で取引ができなかった場合(PayPalの取引拒否、受金銀行が支払いを受け入れられない、上限額に達した、支払いはウェブサイトやその他の指示を通じてしかの受け入れられないなど)、支払いは中止され、 再送金されません。
ベントレー・システムズは、責任ある開示プログラムおよび補償システムを、いつでも事前の通知なしに撤回する権利を保留します。
