セキュリティ

Dartチームは、Dartとそのアプリケーションのセキュリティを真剣に受け止めています。このページでは、発見された脆弱性を報告する方法と、脆弱性を発生させるリスクを最小限に抑えるためのベストプラクティスについて説明します。

Dartのセキュリティ戦略は、5つの主要な柱に基づいています。

• 特定：コア資産、主要な脅威、および脆弱性を特定することにより、主要なセキュリティリスクを追跡し、優先順位を付けます。
• 検出：脆弱性スキャン、静的アプリケーションセキュリティテスト、ファジングなどの手法とツールを使用して、脆弱性を検出して特定します。
• 保護：既知の脆弱性を軽減することでリスクを排除し、重要な資産をソースの脅威から保護します。
• 対応：脆弱性または攻撃を報告、トリアージ、および対応するためのプロセスを定義します。
• 復旧：影響を最小限に抑えてインシデントを封じ込め、復旧するための機能を構築します。

セキュリティの問題を報告するには、https://g.co/vulnzを使用してください。調整と開示は、dart-lang GitHubリポジトリ（GitHubセキュリティアドバイザリを含む）で行われます。問題の詳細な説明、問題を再現するための手順、影響を受けるバージョン、および問題の軽減策を含めてください。Googleセキュリティチームは、g.co/vulnzへの報告から5営業日以内に対応します。

Googleがセキュリティの問題をどのように処理するかについての詳細は、Googleのセキュリティに関する考え方をご覧ください。

既存の問題がセキュリティ関連であると思われる場合は、https://g.co/vulnz経由で報告し、報告に問題IDを含めてください。

私たちは、最新の安定版DartリリースのDartバージョンに対するセキュリティアップデートの公開にコミットしています。

セキュリティの問題はP0の優先度レベルと同等に扱っており、Dart SDKの最新の安定版リリースで見つかった主要なセキュリティの問題に対しては、ベータ版またはパッチ修正をリリースします。dart.devなどのDart Webサイトで報告された脆弱性は、リリースを必要とせず、Webサイト自体で修正されます。

Dartにはバグ報奨金プログラムはありません。

問題と修正リリースに応じて、dart-announceメーリングリストにアナウンスが行われます。

• 最新のDart SDKリリースに更新してください。私たちはDartを定期的に更新しており、これらの更新では以前のバージョンで発見されたセキュリティの欠陥が修正される場合があります。セキュリティ関連の更新については、Dart変更ログを確認してください。

• アプリケーションの依存関係を最新の状態に保ってください。依存関係を最新の状態に保つために、パッケージの依存関係をアップグレードしてください。依存関係の特定のバージョンへの固定は避け、固定する場合は、依存関係にセキュリティアップデートがあったかどうかを定期的に確認し、それに応じてバージョン固定を更新してください。

特に明記されていない限り、このサイトのドキュメントはDart 3.5.3を反映しています。ページの最終更新日：2024-07-03。 ソースを表示 または 問題を報告する。