脆弱性報告ポリシー

概観

Coupaでは、インターネットの安全を維持する上で、独立したセキュリティ研究者が果たす重要な役割を認識しています。お客様のデータを安全に保つことは私たちの最優先事項であり、当社のサイトまたはアプリケーションで発見された可能性のあるすべての脆弱性について責任のあるレポートを作成することをお勧めします。私たちはセキュリティコミュニティと協力して、報告された潜在的な脆弱性の検証と対応に努めます。以下の条件を順守する限り、システムに侵入または侵入しようとするセキュリティ研究者に対して法的措置をとらないことを誓約します。 。

セキュリティ脆弱性のテスト

お客様のデータへのリスクを最小限に抑えるために、オンラインサービスの試用版に対してのみ脆弱性テストを実施します。テスト時には、以下の種類のセキュリティ調査は許可されません。

• サービス拒否（DoS）状態の原因または引き起こそうとする試み
• あなたに属さないデータまたは情報へのアクセス、またはアクセスの試み
• 自分に属さないデータまたは情報を破棄または破壊したり、破棄または破壊しようとしたりすること

潜在的な脆弱性の報告

security@coupa.comにメールを送信して、疑わしい脆弱性の詳細を非公開で私たちと共有します。暗号化されたメッセージを送信する場合は、この PGPキーを使用できます。私たちのセキュリティチームが問題を検証して再現できるように、疑わしい脆弱性の完全な詳細を提供してください。

次の情報を含めます。

• 脆弱性を実証する概念実証および/またはURL
• 問題のタイプ（クロスサイトスクリプティング、バッファオーバーフロー、SQLインジェクションなど）
• 問題の再現に必要な特別な設定
• 攻撃者が問題を悪用する方法を含む、問題の影響

私たちのセキュリティ責任

このCoupa脆弱性報告ポリシーに従うすべてのセキュリティ研究者に対して、当社のセキュリティチームは以下のことを約束します。

• レポートの受領を確認して、タイムリーに対応する
• 脆弱性に対処するための推定期間を入力してください
• 脆弱性が修正されたらレポート担当者に通知する

私たちはセキュリティの問題を真剣に受け止め、検証可能なセキュリティの問題を解決するために迅速に対応しますが、一部の製品は複雑で更新に時間がかかる場合があります。

補償

独立したセキュリティ研究者によって行われた作業に感謝しますが、セキュリティの脆弱性を報告したことに対する補償は提供しません。そのような補償の要求は、上記の条件の違反と見なされます。そのような場合、Coupaはその法的権利をすべて留保します。