Fastly は、自社ネットワークとお客様のセキュリティを重要視し、大規模なセキュリティコミュニティを積極的にサポートしています。また、独立したセキュリティ調査と責任ある開示に努めています。
Fastly のネットワークにおける潜在的なセキュリティの脆弱性調査と報告には、以下のガイドラインが適用されます。
セキュリティ評価を実施する上の必須条件
*.fastly.com のドメインに限定する : ( https://www.fastly.com、https://manage.fastly.com、https://docs.fastly.com)
*.fastly.net を含む他の Fastly ドメインで実施しない
Fastly 以外のドメインでは実施しない
Fastly のサービスの可用性を損なわない
Fastly のお客様のセキュリティやプライバシー、および Fastly のネットワーク上のデータを侵害しない
非破壊的なテストを使用する
ソーシャルエンジニアリングや物理的セキュリティ管理の評価を含まない
セキュリティ評価の結果は、「Potential Security Vulnerability (潜在的なセキュリティの脆弱性)」という件名でサポートチケットを作成して報告してください。サポートチケットを作成する際は、以下の詳細情報を必ず提供してください。
報告者の連絡先情報
脆弱性の所在箇所と性質についての説明
脆弱性を再現するための詳細な手順
脆弱性に関する潜在的なセキュリティがもたらす影響についての概略
その他
スクリーンショットや動画は評価に役立ちます
メッセージは PGP 公開キーに暗号化できます (任意)
Fastly の対応
2営業日以内に最初のセキュリティ評価報告の受信確認をするよう努めます
報告された脆弱性を再現した上で確認します
確認された脆弱性については、パッチ適用と公開に向けた適切なスケジュールを迅速に明示します
確認およびパッチ適用が行われた脆弱性を最初に報告いただいた方へ、感謝の印として Fastly T シャツを差し上げます (T シャツの贈呈は報告者1名対して1回限りとなりますが、ぜひ継続的にご報告ください)
セキュリティ評価の実施および報告に関するすべてのガイドラインに準拠し、かつ脆弱性の再現に関する Fastly の合理的な支援要請に全面的に協力いただいた報告者に対して、法的措置を取ることはありません
本サービスの健全性またはパフォーマンスを妨げるようなセキュリティテストや調査は、Fastly の利用規定に違反します。評価活動が他のお客様や Fastly ネットワークに悪影響が及ぶことを回避するため、Fastly から連絡があった場合には直ちに返答してください。