⚠️⚠️⚠️
本ドキュメントは、IssueHuntバグバウンティのお客様へ配布することが目的であり、一般配布することを目的としておりません。そのため、IssueHunt株式会社の許諾なしに社外へシェアすることはお控えください。
スコープ判断基準
Webサービスの場合、プログラムに設定いただいたドメインを基準にスコープを判断します
Webサービス以外の場合、プログラムに設定いただいた製品名などを基準に判断します
プログラムでの対象の記載が不明瞭である場合、スコープ判断に時間を要する可能性があります
トリアージが開始されるまでの流れ
レポート取り扱いの流れは以下のようになります
1. IssueHuntチームは、報告されたレポートがスパムでないか確認します
スパムの場合、レポートはInvalidate(Not Applicable)として処理され、**チケットは消化しません。**
2. IssueHuntチームは、報告されたレポートがスコープ内のものかを確認します
スコープ内である場合、3. に進みます
スコープ外である場合、貴社に対し当該ドメインの所有有無をお伺いします
貴社の所有しないドメインへのトリアージ(脆弱性再現操作含む)を避けるための措置となります
所有している場合、 3. に進みます
所有していない場合、レポートはInvalidate(Out of Scope)として処理され、チケットは消化しません。
レポートが過去に報告されたものと全く同じものの場合、レポートはDuplicate(重複)として処理されます。この場合のチケット消化はありません。
3. IssueHuntチームは、レポートに対しトリアージを開始します
この時点でチケットが消化されます。
補足
スコープ外の報告を受領した際、貴社側でのドメインや製品の所有確認に時間がかかる場合は、IssueHuntチームまでご連絡をお願いします
報告者に対し、レポートの内容確認に時間がかかることをIssueHuntチームからお伝えします
あくまでベストエフォートとはなりますが、スコープ外であっても脆弱性による影響が大きい場合には、その旨も併せてお伝えします
ただしこの時点ではトリアージは開始していないため、脆弱性の詳細な深刻度判断などは行なっておりません
貴社に関連するドメインや製品に対し、深刻な影響を与え得る可能性があると当社で判断できた場合に限ります