Twilioの脆弱性開示方針

脆弱性開示哲学

Twilioは、セキュリティ脆弱性の効果的な開示には、当社とセキュリティ研究者の相互の信頼、尊重、透明性、および公共の利益が必要であると考えています。当社の慎重な専門知識は、Twilioの顧客、製品、サービスの継続的なセキュリティとプライバシーを促進します。

セキュリティ研究者

Twilioは、独立系セキュリティ研究者、業界パートナー、ベンダー、顧客、コンサルタントなど、あらゆる情報源からの脆弱性報告を受け付けています。Twilioは、セキュリティ上の脆弱性を、当社の製品およびサービスの完全性、可用性、機密性を損なう可能性のある想定外の情報露出や弱点として定義しています。

範囲

本ポリシーは、Twilioが所有、運用、または管理する、公開ウェブサイトを含むすべてのデジタル資産に適用されます。

研究者の皆様への約束

• 信頼　 当社は、セキュリティ研究者の皆様との専門的なやり取りにおいて、信頼と機密性を重んじます。
• 尊重　 当社は、すべての研究者の皆様を尊重し、お客様の安全と安心を守るための皆様の貢献を認識しています。
• 透明性　 当社は、セキュリティとプライバシーに対する当社の取り組みに従い、報告された脆弱性を検証し修正するために皆様と協力します。
• 公共の利益　 当社は、報告された脆弱性によって影響を受ける可能性のある人々の安全とセキュリティを保護する方法に従って、問題の調査および修正対応を行います。

研究者の皆様にお願いすること

• 信頼　 潜在的な脆弱性について責任ある方法でご連絡いただくようお願いします。当社チームが潜在的な問題を検証し、対処するための十分な時間と情報を提供してください。
• 尊重　 研究者の皆様には、セキュリティテスト中のプライバシー侵害、ユーザー体験の低下、本番システムの中断、データの破壊を避けるよう最大限の配慮をお願いしています。
• 透明性　 研究者の皆様には、以下のフォームを使用して、報告された問題を特定および検証するために必要な技術的詳細と背景情報をご提供いただくようお願いしています。
• 公共の利益　 研究者の皆様には、共通の利益のために行動し、当社チームが報告された問題を検証し対応するまで、未検証の脆弱性を公開しないことで、ユーザーのプライバシーとセキュリティを保護していただくようお願いしています。

脆弱性の報告

Twilioは、セキュリティ研究者の皆様に対し、Twilioが所有、管理、運用するすべての資産（または当社および当社ユーザーのセキュリティに合理的に影響を与える可能性のある資産）に関して脆弱性の疑いがある場合、以下のウェブフォームを使用してその詳細を共有することを推奨しています。Twilioセキュリティチームは、各脆弱性報告の受領を確認し、徹底的な調査を行った上で、解決に向けて適切な措置を講じます。

バグ報奨金プログラム

セキュリティの専門知識に基づく報酬を得たい方は、バグ報奨金プログラムを通じてレポートを提出してください。