=encoding utf-8 =for stopwords CVE perlsecpolicy SV perl Perl SDBM HackerOne Mitre =head1 NAME =begin original perlsecpolicy - Perl security report handling policy =end original perlsecpolicy - Perl セキュリティ報告処理ポリシー (訳注: (TBR)がついている段落は「みんなの自動翻訳@TexTra®」による 機械翻訳です。) =head1 DESCRIPTION =begin original The Perl project takes security issues seriously. =end original Perlプロジェクトはセキュリティの問題を真剣にとらえています。 (TBR) =begin original The responsibility for handling security reports in a timely and effective manner has been delegated to a security team composed of a subset of the Perl core developers. =end original セキュリティレポートをタイムリーかつ効果的な方法で処理する責任は、Perlコア開発者のサブセットで構成されるセキュリティチームに委任されています。 (TBR) =begin original This document describes how the Perl security team operates and how the team evaluates new security reports. =end original この文書では、Perlセキュリティチームの運用方法と、チームが新しいセキュリティレポートを評価する方法について説明します。 (TBR) =head1 REPORTING SECURITY ISSUES IN PERL =begin original If you believe you have found a security vulnerability in the Perl interpreter or modules maintained in the core Perl codebase, email the details to L. This address is a closed membership mailing list monitored by the Perl security team. =end original コアPerlコードベースで管理されているPerlインタプリタまたはモジュールにセキュリティ上の脆弱性を発見したと思われる場合は、詳細を Lまで電子メールで送信してください。 このアドレスは、Perlセキュリティチームによって監視されている非公開の会員メーリングリストです。 (TBR) =begin original You should receive an initial response to your report within 72 hours. If you do not receive a response in that time, please contact the L. =end original レポートに対する最初の回答は72時間以内に届くはずです。 回答が得られない場合は、Lまでお問い合わせください。 (TBR) =begin original When members of the security team reply to your messages, they will generally include the perl-security@perl.org address in the "To" or "CC" fields of the response. This allows all of the security team to follow the discussion and chime in as needed. Use the "Reply-all" functionality of your email client when you send subsequent responses so that the entire security team receives the message. =end original セキュリティチームのメンバーがメッセージに返信する場合、通常、返信の「To」または「CC」フィールドにperl-security@perl.orgアドレスを含めます。 これにより、セキュリティチーム全員がディスカッションに従い、必要に応じて参加できます。 後続の返信を送信する場合は、Eメールクライアントの「全員に返信」機能を使用して、セキュリティチーム全体がメッセージを受信できるようにします。 (TBR) =begin original The security team will evaluate your report and make an initial determination of whether it is likely to fit the scope of issues the team handles. General guidelines about how this is determined are detailed in the L section. =end original セキュリティチームはレポートを評価し、チームが扱う問題の範囲に適合する可能性が高いかどうかを最初に判断します。 この判断方法に関する一般的なガイドラインについては、L セクションで詳しく説明しています。 (TBR) =begin original If your report meets the team's criteria, an issue will be opened in the team's private issue tracker and you will be provided the issue's ID number. Issue identifiers have the form perl-security#NNN. Include this identifier with any subsequent messages you send. =end original レポートがチームの基準を満たしている場合、チームのプライベート懸案事項追跡ツールで懸案事項がオープンされ、懸案事項のID番号が提供されます。 懸案事項IDの形式はperl-security#NNNです。 後続の送信メッセージにはこのIDを含めてください。 (TBR) =begin original The security team will send periodic updates about the status of your issue and guide you through any further action that is required to complete the vulnerability remediation process. The stages vulnerabilities typically go through are explained in the L section. =end original セキュリティチームは、お客様の問題のステータスに関する最新情報を定期的に送信し、脆弱性修復プロセスを完了するために必要な追加アクションを案内します。 脆弱性が一般的に経験する段階については、L セクションで説明されています。 (TBR) =head1 WHAT ARE SECURITY ISSUES =begin original A vulnerability is a behavior of a software system that compromises the system's expected confidentiality, integrity or availability protections. =end original 脆弱性とは、ソフトウェアシステム期待される機密性、完全性、可用性の保護を損なうソフトウェアシステムの動作のことです。 (TBR) =begin original A security issue is a bug in one or more specific components of a software system that creates a vulnerability. =end original セキュリティ問題とは、ソフトウェアシステムの1つまたは複数の特定コンポーネントに存在するバグで、脆弱性を引き起こすものです。 (TBR) =begin original Software written in the Perl programming language is typically composed of many layers of software written by many different groups. It can be very complicated to determine which specific layer of a complex real-world application was responsible for preventing a vulnerable behavior, but this is an essential part of fixing the vulnerability. =end original Perlプログラミング言語で書かれたソフトウェアは、一般に、多くの異なるグループによって書かれたソフトウェアの多くの層から構成されています。 複雑な実世界アプリケーションのどの特定の層が脆弱な動作を防止したのかを判断するのは非常に複雑な場合がありますが、これは脆弱性を修正するために不可欠な部分です。 (TBR) =head2 Software covered by the Perl security team =begin original The Perl security team handles security issues in: =end original Perlセキュリティチームは、次のセキュリティ問題を処理します。 (TBR) =over =item * =begin original The Perl interpreter =end original Perlインタープリター (TBR) =item * =begin original The Perl modules shipped with the interpreter that are developed in the core Perl repository =end original インタープリターに同梱され、コアPerlリポジトリーで開発されたPerlモジュール (TBR) =item * =begin original The command line tools shipped with the interpreter that are developed in the core Perl repository =end original インタープリターに付属し、コアPerlリポジトリーで開発されたコマンドラインツール (TBR) =back =begin original Files under the F directory in Perl's repository and release tarballs are developed and maintained independently. The Perl security team does not handle security issues for these modules. =end original Perlのリポジトリーおよびリリースtarball内のFディレクトリー下のファイルは、独立して開発および保守されています。 Perlセキュリティチームは、これらのモジュールのセキュリティ問題を処理しません。 (TBR) =head2 Bugs that may qualify as security issues in Perl =begin original Perl is designed to be a fast and flexible general purpose programming language. The Perl interpreter and Perl modules make writing safe and secure applications easy, but they do have limitations. =end original Perlは、高速で柔軟な汎用プログラミング言語として設計されています。 PerlインタープリターとPerlモジュールによって、安全でセキュアなアプリケーションを簡単に作成することができますが、制限があります。 (TBR) =begin original As a general rule, a bug in Perl needs to meet all of the following criteria to be considered a security issue: =end original 一般的な規則として、Perlのバグがセキュリティ問題と見なされるためには、次の基準をすべて満たす必要があります。 (TBR) =over =item * =begin original The vulnerable behavior is not mentioned in Perl's documentation or public issue tracker. =end original 脆弱性の振る舞いについては、Perlのドキュメントや公開問題追跡ツールには記載されていません。 (TBR) =item * =begin original The vulnerable behavior is not implied by an expected behavior. =end original 脆弱な振る舞いは、期待される振る舞いによって暗示されるものではない。 (TBR) =item * =begin original The vulnerable behavior is not a generally accepted limitation of the implementation. =end original 脆弱な振る舞いは、一般的に受け入れられている実装の制限ではありません。 (TBR) =item * =begin original The vulnerable behavior is likely to be exposed to attack in otherwise secure applications written in Perl. =end original Perlで作成されたセキュアなアプリケーションでは、脆弱な振る舞いが攻撃にさらされる可能性があります。 (TBR) =item * =begin original The vulnerable behavior provides a specific tangible benefit to an attacker that triggers the behavior. =end original 脆弱な動作は、その動作をトリガーする攻撃者に具体的な利益を提供します。 (TBR) =back =head2 Bugs that do not qualify as security issues in Perl =begin original There are certain categories of bugs that are frequently reported to the security team that do not meet the criteria listed above. =end original 上記の基準を満たさない、セキュリティチームに頻繁に報告される特定のカテゴリのバグがあります。 (TBR) =begin original The following is a list of commonly reported bugs that are not handled as security issues. =end original 一般的に報告され、セキュリティ問題として扱われないバグのリストを以下に示します。 (TBR) =head3 Feeding untrusted code to the interpreter =begin original The Perl parser is not designed to evaluate untrusted code. If your application requires the evaluation of untrusted code, it should rely on an operating system level sandbox for its security. =end original Perlパーサーは、信頼できないコードを評価するようには設計されていません。 アプリケーションで信頼できないコードの評価が必要な場合は、セキュリティをオペレーティングシステムレベルのサンドボックスに依存する必要があります。 (TBR) =head3 Stack overflows due to excessive recursion =begin original Excessive recursion is often caused by code that does not enforce limits on inputs. The Perl interpreter assumes limits on recursion will be enforced by the application. =end original 過度の再帰は、多くの場合、入力に制限を適用しないコードによって引き起こされます。 Perlインタプリタは、アプリケーションによって再帰の制限が適用されることを想定しています。 (TBR) =head3 Out of memory errors =begin original Common Perl constructs such as C, the C operator, and regular expressions accept numeric quantifiers that control how much memory will be allocated to store intermediate values or results. If you allow an attacker to supply these quantifiers and consume all available memory, the Perl interpreter will not prevent it. =end original C、C演算子、正規表現などの一般的なPerl構文では、中間値または結果を格納するために割り当てられるメモリーの量を制御する数値限定子を使用できます。 攻撃者がこれらの限定子を提供し、使用可能なメモリーをすべて消費することを許可した場合、Perlインタプリタはこれを防止できません。 (TBR) =head3 Escape from a L compartment =begin original L restrictions and L compartments are not supported as security mechanisms. The Perl parser is not designed to evaluate untrusted code. =end original L制限およびLコンパートメントはセキュリティメカニズムとしてサポートされていません。 Perlパーサーは、信頼できないコードを評価するようには設計されていません。 (TBR) =head3 Use of the C

and C

pack templates =begin original These templates are unsafe by design. =end original これらのテンプレートは、設計上安全ではありません。 (TBR) =head3 Stack not reference-counted issues =begin original These bugs typically present as use-after-free errors or as assertion failures on the type of a C. Stack not reference-counted crashes usually occur because code is both modifying a reference or glob and using the values referenced by that glob or reference. =end original これらのバグは通常、use-after-freeエラーやC型のアサーションエラーとして存在する。 参照カウントされないスタックのクラッシュは通常、コードが参照またはglobを修正し、そのglobまたはreferenceによって参照される値を使用しているために発生する。 (TBR) =begin original This type of bug is a long standing issue with the Perl interpreter that seldom occurs in normal code. Examples of this type of bug generally assume that attacker-supplied code will be evaluated by the Perl interpreter. =end original この種のバグは、通常のコードではめったに発生しないPerlインタープリターの長年の問題です。 この種のバグの例では、攻撃者が提供したコードがPerlインタープリターによって評価されることが一般的に想定されています。 (TBR) =head3 Thawing attacker-supplied data with L =begin original L is designed to be a very fast serialization format. It is not designed to be safe for deserializing untrusted inputs. =end original Lは、非常に高速なシリアライゼーションフォーマットとして設計されています。 信頼できない入力をデシリアライゼーションするために安全に設計されていません。 (TBR) =head3 Using attacker supplied L databases =begin original The L module is not intended for use with untrusted SDBM databases. =end original Lモジュールは、信頼できないSDBMデータベースで使用することを意図していません。 (TBR) =head3 Badly encoded UTF-8 flagged scalars =begin original This type of bug occurs when the C<:utf8> PerlIO layer is used to read badly encoded data, or other mechanisms are used to directly manipulate the UTF-8 flag on an SV. =end original このタイプのバグは、C<:utf8>PerlIOレイヤーが不正にエンコードされたデータを読み取るために使用される場合、または他のメカニズムがSV上のUTF-8フラグを直接操作するために使用される場合に発生します。 (TBR) =begin original A badly encoded UTF-8 flagged SV is not a valid SV. Code that creates SV's in this fashion is corrupting Perl's internal state. =end original 正しくエンコードされていないUTF-8フラグ付きSVは有効なSVではありません。 このようにSVを作成するコードは、Perlの内部状態を破壊しています。 (TBR) =head3 Issues that exist only in blead, or in a release candidate =begin original The blead branch and Perl release candidates do not receive security support. Security defects that are present only in pre-release versions of Perl are handled through the normal bug reporting and resolution process. =end original BleadブランチおよびPerlリリース候補はセキュリティサポートを受けていません。 Perlのプレリリースバージョンにのみ存在するセキュリティ上の欠陥は、通常のバグ報告および解決プロセスによって処理されます。 (TBR) =head3 CPAN modules or other Perl project resources =begin original The Perl security team is focused on the Perl interpreter and modules maintained in the core Perl codebase. The team has no special access to fix CPAN modules, applications written in Perl, Perl project websites, Perl mailing lists or the Perl IRC servers. =end original Perlセキュリティチームは、コアPerlコードベースで管理されているPerlインタープリターとモジュールに重点を置いています。 CPANモジュール、Perlで作成されたアプリケーション、PerlプロジェクトのWebサイト、Perlメーリングリスト、またはPerl IRCサーバーを修正するための特別なアクセス権はありません。 (TBR) =head3 Emulated POSIX behaviors on Windows systems =begin original The Perl interpreter attempts to emulate C, C, C and other POSIX behaviors on Windows systems. This emulation has many quirks that are extensively documented in Perl's public issue tracker. Changing these behaviors would cause significant disruption for existing users on Windows. =end original Perlインタプリタは、Windowsシステム上でC、C、Cおよびその他のPOSIX動作をエミュレートしようとします。 このエミュレーションには、Perlのpublic issue trackerに詳細に記述されている多くの癖があります。 これらの挙動を変更すると、Windows上の既存ユーザーに重大な混乱を引き起こす可能性があります。 (TBR) =head2 Bugs that require special categorization =begin original Some bugs in the Perl interpreter occur in areas of the codebase that are both security sensitive and prone to failure during normal usage. =end original Perlインタープリターのバグの中には、セキュリティに敏感であり、通常の使用中に障害を起こしやすいコードベースの領域で発生するものがあります。 (TBR) =head3 Regular expressions =begin original Untrusted regular expressions are generally safe to compile and match against with several caveats. The following behaviors of Perl's regular expression engine are the developer's responsibility to constrain. =end original 信頼できない正規表現は一般的に安全にコンパイルし、いくつかの警告を付けてマッチさせることができます。 Perlの正規表現エンジンの以下の動作は、開発者が制約する責任があります。 (TBR) =begin original The evaluation of untrusted regular expressions while C is in effect is never safe. =end original Cが有効な状態で信頼できない正規表現を評価することは、決して安全ではありません。 (TBR) =begin original Regular expressions are not guaranteed to compile or evaluate in any specific finite time frame. =end original 正規表現は、特定の有限時間フレームでコンパイルや評価を行うことが保証されていません。 (TBR) =begin original Regular expressions may consume all available system memory when they are compiled or evaluated. =end original 正規表現は、コンパイル時または評価時に使用可能なシステムメモリをすべて消費する可能性があります。 (TBR) =begin original Regular expressions may cause excessive recursion that halts the perl interpreter. =end original 正規表現は、Perlインタプリタを停止させる過度の再帰を引き起こす可能性があります。 (TBR) =begin original As a general rule, do not expect Perl's regular expression engine to be resistant to denial of service attacks. =end original 一般的なルールとして、Perlの正規表現エンジンがサービス拒否攻撃に対して耐性があると期待しないでください。 (TBR) =head3 L, L, or L databases =begin original These modules rely on external libraries to interact with database files. =end original これらのモジュールは、外部ライブラリに依存してデータベースファイルを操作します。 (TBR) =begin original Bugs caused by reading and writing these file formats are generally caused by the underlying library implementation and are not security issues in Perl. =end original これらのファイルフォーマットの読み書きによって引き起こされるバグは、一般的に基礎となるライブラリー実装によって引き起こされ、Perlにおけるセキュリティ問題ではありません。 (TBR) =begin original Bugs where Perl mishandles unexpected valid return values from the underlying libraries may qualify as security issues in Perl. =end original Perlが基礎となるライブラリーから予期しない有効な戻り値を誤って処理するバグは、Perlのセキュリティ問題と見なされる可能性があります。 (TBR) =head3 Algorithmic complexity attacks =begin original The perl interpreter is reasonably robust to algorithmic complexity attacks. It is not immune to them. =end original Perlインタープリターは、アルゴリズムの複雑さによる攻撃に対して適度に堅牢であり、それらに免疫がないわけではありません。 (TBR) =begin original Algorithmic complexity bugs that depend on the interpreter processing extremely large amounts of attacker supplied data are not generally handled as security issues. =end original アルゴリズムの複雑さのバグは、攻撃者から提供された非常に大量のデータを処理するインタプリタに依存しており、一般にセキュリティ問題として扱われません。 (TBR) =begin original See L for additional information. =end original 詳細については、Lを参照してください。 (TBR) =head1 HOW WE DEAL WITH SECURITY ISSUES =begin original The Perl security team follows responsible disclosure practices. Security issues are kept secret until a fix is readily available for most users. This minimizes inherent risks users face from vulnerabilities in Perl. =end original Perlセキュリティチームは、責任ある情報開示慣行に従います。 セキュリティ問題は、ほとんどのユーザーが修正プログラムをすぐに入手できるようになるまで秘密にされます。 これにより、Perlの脆弱性によってユーザーが直面する固有のリスクを最小限に抑えることができます。 (TBR) =begin original Hiding problems from the users temporarily is a necessary trade-off to keep them safe. Hiding problems from users permanently is not the goal. =end original ユーザーから一時的に問題を隠すことは、ユーザーを安全に保つために必要なトレードオフです。 ユーザーから問題を永久に隠すことが目的ではありません。 (TBR) =begin original When you report a security issue privately to the L contact address, we normally expect you to follow responsible disclosure practices in the handling of the report. If you are unable or unwilling to keep the issue secret until a fix is available to users you should state this clearly in the initial report. =end original セキュリティ問題をL連絡先アドレスに非公開で報告する場合、通常、報告の処理において責任ある開示慣行に従うことが求められます。 ユーザーが修正を入手できるようになるまで問題を非公開にすることができない、またはする意思がない場合は、最初の報告でそのことを明確に述べる必要があります。 (TBR) =begin original The security team's vulnerability remediation workflow is intended to be as open and transparent as possible about the state of your security report. =end original セキュリティチームの脆弱性修復ワークフローは、セキュリティレポートの状態について可能な限りオープンで透明性のあるものにすることを目的としています。 (TBR) =head2 Perl's vulnerability remediation workflow =head3 Initial contact =begin original New vulnerability reports will receive an initial reply within 72 hours from the time they arrive at the security team's mailing list. If you do not receive any response in that time, contact the L. =end original 新しい脆弱性レポートは、セキュリティチームのメーリングリストに到着してから72時間以内に最初の返信を受け取ります。 その間に返信がない場合は、Lに連絡してください。 (TBR) =begin original The initial response sent by the security team will confirm your message was received and provide an estimated time frame for the security team's triage analysis. =end original セキュリティチームから送信された最初の応答は、メッセージが受信されたことを確認し、セキュリティチームのトリアージ分析のための推定時間枠を提供します。 (TBR) =head3 Initial triage =begin original The security team will evaluate the report and determine whether or not it is likely to meet the criteria for handling as a security issue. =end original セキュリティチームはレポートを評価し、セキュリティ問題として処理するための基準を満たす可能性があるかどうかを判断します。 (TBR) =begin original The security team aims to complete the initial report triage within two weeks' time. Complex issues that require significant discussion or research may take longer. =end original セキュリティチームは、2週間以内に最初のレポートトリアージを完了することを目指しています。 重要な議論や調査を必要とする複雑な問題には、さらに時間がかかる場合があります。 (TBR) =begin original If the security report cannot be reproduced or does not meet the team's criteria for handling as a security issue, you will be notified by email and given an opportunity to respond. =end original セキュリティレポートを複製できない場合、またはセキュリティ問題として処理するチームの基準を満たしていない場合は、電子メールで通知され、回答する機会が与えられます。 (TBR) =head3 Issue ID assignment =begin original Security reports that pass initial triage analysis are turned into issues in the security team's private issue tracker. When a report progresses to this point you will be provided the issue ID for future reference. These identifiers have the format perl-security#NNN or Perl/perl-security#NNN. =end original 初期トリアージ分析に合格したセキュリティレポートは、セキュリティチームのプライベートな問題追跡ツールで問題に変換されます。 この時点までレポートが進行すると、後で参照できるように問題IDが提供されます。 これらの識別子のフォーマットはperl-security#NNNまたはPerl/perl-security#NNNです。 (TBR) =begin original The assignment of an issue ID does not confirm that a security report represents a vulnerability in Perl. Many reports require further analysis to reach that determination. =end original イシューIDの割り当ては、セキュリティレポートがPerlの脆弱性を表していることを確認するものではありません。 多くのレポートでは、その決定に到達するためにさらなる分析が必要です。 (TBR) =begin original Issues in the security team's private tracker are used to collect details about the problem and track progress towards a resolution. These notes and other details are not made public when the issue is resolved. Keeping the issue notes private allows the security team to freely discuss attack methods, attack tools, and other related private issues. =end original セキュリティチームのプライベートトラッカー内の問題は、問題の詳細を収集し、解決に向けた進捗を追跡するために使用されます。 これらのメモおよびその他の詳細は、問題が解決されたときに公開されません。 問題のメモを非公開にすると、セキュリティチームは攻撃方法、攻撃ツールおよびその他の関連する非公開の問題について自由に議論できます。 (TBR) =head3 Development of patches =begin original Members of the security team will inspect the report and related code in detail to produce fixes for supported versions of Perl. =end original セキュリティチームのメンバーは、レポートと関連コードを詳細に調査し、サポートされているバージョンのPerlに対する修正を作成します。 (TBR) =begin original If the team discovers that the reported issue does not meet the team's criteria at this stage, you will be notified by email and given an opportunity to respond before the issue is closed. =end original 報告された問題がこの段階でチームの基準を満たしていないことをチームが発見した場合は、問題が解決される前に電子メールで通知され、回答する機会が与えられます。 (TBR) =begin original The team may discuss potential fixes with you or provide you with patches for testing purposes during this time frame. No information should be shared publicly at this stage. =end original この期間中、チームは潜在的な修正についてお客様と話し合うか、テスト目的のパッチをお客様に提供する場合があります。 現段階では、情報を公に共有すべきではない。 (TBR) =head3 CVE ID assignment =begin original Once an issue is fully confirmed and a potential fix has been found, the security team will request a CVE identifier for the issue to use in public announcements. =end original 問題が完全に確認され、潜在的な修正が発見されると、セキュリティチームは、公式発表で使用するために、問題のCVE識別子を要求する。 (TBR) =begin original Details like the range of vulnerable Perl versions and identities of the people that discovered the flaw need to be collected to submit the CVE ID request. =end original CVE IDリクエストを送信するためには、脆弱なPerlバージョンの範囲や、脆弱性を発見した人物の身元などの詳細を収集する必要がある。 (TBR) =begin original The security team may ask you to clarify the exact name we should use when crediting discovery of the issue. The L section of this document explains our preferred format for this credit. =end original セキュリティチームは、問題が発見されたことを証明する際に使用すべき正確な名前を明確にするようお願いする場合があります。 このドキュメントのLセクションでは、このクレジットの推奨形式について説明しています。 (TBR) =begin original Once a CVE ID has been assigned, you will be notified by email. The vulnerability should not be discussed publicly at this stage. =end original CVE IDが割り当てられると、メールで通知されます。 現段階では、この脆弱性について公に議論すべきではない。 (TBR) =head3 Pre-release notifications =begin original When the security team is satisfied that the fix for a security issue is ready to release publicly, a pre-release notification announcement is sent to the major redistributors of Perl. =end original セキュリティチームがセキュリティ問題の修正を公開する準備ができていると判断した場合、Perlの主要な再配布者にリリース前の通知が送信されます。 (TBR) =begin original This pre-release announcement includes a list of Perl versions that are affected by the flaw, an analysis of the risks to users, patches the security team has produced, and any information about mitigations or backporting fixes to older versions of Perl that the security team has available. =end original このプレリリース発表には、脆弱性の影響を受けるPerlバージョンのリスト、ユーザーに対するリスクの分析、セキュリティチームが作成したパッチ、セキュリティチームが入手可能な旧バージョンのPerlへの緩和策やバックポート修正に関する情報などが含まれている。 (TBR) =begin original The pre-release announcement will include a specific target date when the issue will be announced publicly. The time frame between the pre-release announcement and the release date allows redistributors to prepare and test their own updates and announcements. During this period the vulnerability details and fixes are embargoed and should not be shared publicly. This embargo period may be extended further if problems are discovered during testing. =end original プレリリースの発表には、問題が公式に発表される具体的な目標日が含まれます。 プレリリースの発表からリリース日までの時間枠により、再配布者は独自のアップデートと発表を準備してテストすることができます。 この期間中、脆弱性の詳細と修正は禁止され、公開されません。 テスト中に問題が発見された場合は、この禁止期間がさらに延長されることがあります。 (TBR) =begin original You will be sent the portions of pre-release announcements that are relevant to the specific issue you reported. This email will include the target release date. Additional updates will be sent if the target release date changes. =end original お客様が報告された特定の問題に関連するプレリリース発表の一部がお客様に送信されます。 このEメールには、リリース予定日が記載されます。 リリース予定日が変更された場合は、追加の更新情報が送信されます。 (TBR) =head3 Pre-release testing =begin original The Perl security team does not directly produce official Perl releases. The team releases security fixes by placing commits in Perl's public git repository and sending announcements. =end original Perlセキュリティチームは、公式のPerlリリースを直接作成することはありません。 チームは、Perlの公開gitリポジトリにコミットを配置し、アナウンスを送信することによってセキュリティ修正をリリースします。 (TBR) =begin original Many users and redistributors prefer using official Perl releases rather than applying patches to an older release. The security team works with Perl's release managers to make this possible. =end original 多くのユーザーや再配布者は、古いリリースにパッチを適用するよりも、正式なPerlリリースを使用したいと考えています。 セキュリティチームは、Perlのリリースマネージャーと協力して、これを可能にしています。 (TBR) =begin original New official releases of Perl are generally produced and tested on private systems during the pre-release embargo period. =end original Perlの新しい公式リリースは、一般的に、リリース前の禁輸期間中にプライベートシステムで作成され、テストされます。 (TBR) =head3 Release of fixes and announcements =begin original At the end of the embargo period the security fixes will be committed to Perl's public git repository and announcements will be sent to the L and L mailing lists. =end original 禁輸期間の終わりに、セキュリティ修正はPerlの公開gitリポジトリにコミットされ、発表は Lと Lメーリングリストに送られます。 (TBR) =begin original If official Perl releases are ready, they will be published at this time and announced on the L mailing list. =end original Perlの公式リリースが準備できていれば、この時点で公開され、Lメーリングリストで発表されます。 (TBR) =begin original The security team will send a follow-up notification to everyone that participated in the pre-release embargo period once the release process is finished. Vulnerability reporters and Perl redistributors should not publish their own announcements or fixes until the Perl security team's release process is complete. =end original セキュリティチームは、リリースプロセスが完了すると、リリース前の禁輸期間に参加したすべての人にフォローアップ通知を送信します。 脆弱性レポーターとPerl再配布者は、Perlセキュリティチームのリリースプロセスが完了するまで、独自の発表や修正を公開しないでください。 (TBR) =head2 Publicly known and zero-day security issues =begin original The security team's vulnerability remediation workflow assumes that issues are reported privately and kept secret until they are resolved. This isn't always the case and information occasionally leaks out before a fix is ready. =end original セキュリティチームの脆弱性修復ワークフローでは、問題がプライベートに報告され、解決されるまで秘密に保持されることを前提としています。 必ずしもそうとは限りませんが、修正の準備が整う前に情報が漏れることがあります。 (TBR) =begin original In these situations the team must decide whether operating in secret increases or decreases the risk to users of Perl. In some cases being open about the risk a security issue creates will allow users to defend against it, in other cases calling attention to an unresolved security issue will make it more likely to be misused. =end original このような状況では、チームはシークレットで操作することがPerlユーザーのリスクを増加させるのか減少させるのかを決定しなければなりません。 セキュリティ問題が引き起こすリスクについてオープンであることで、ユーザーがそれを防御できる場合もあれば、未解決のセキュリティ問題に注意を喚起することで、悪用される可能性が高くなる場合もあります。 (TBR) =head3 Zero-day security issues =begin original If an unresolved critical security issue in Perl is being actively abused to attack systems the security team will send out announcements as rapidly as possible with any mitigations the team has available. =end original Perlの未解決の重大なセキュリティ問題が攻撃システムに積極的に悪用されている場合、セキュリティチームは、チームが利用可能な緩和策とともに、できるだけ迅速にアナウンスを送信します。 (TBR) =begin original Perl's public defect tracker will be used to handle the issue so that additional information, fixes, and CVE IDs are visible to affected users as rapidly as possible. =end original Perlの公開欠陥追跡ツールを使用してこの問題を処理し、影響を受けたユーザーが追加情報、修正、CVE IDをできるだけ早く確認できるようにします。 (TBR) =head3 Other leaks of security issue information =begin original Depending on the prominence of the information revealed about a security issue and the issue's risk of becoming a zero-day attack, the security team may skip all or part of its normal remediation workflow. =end original セキュリティ問題について明らかにされた情報の重要性と、その問題が0デイ攻撃になるリスクに応じて、セキュリティチームは通常の修復ワークフローの全部または一部を省略する場合があります。 (TBR) =begin original If the security team learns of a significant security issue after it has been identified and resolved in Perl's public issue tracker, the team will request a CVE ID and send an announcement to inform users. =end original セキュリティチームは、Perlのパブリックイシュートラッカーで特定され解決された後に重大なセキュリティ問題を知った場合、CVE IDを要求し、ユーザに通知するアナウンスを送信します。 (TBR) =head2 Vulnerability credit and bounties =begin original The Perl project appreciates the effort security researchers invest in making Perl safe and secure. =end original Perlプロジェクトは、セキュリティ研究者がPerlを安全でセキュアなものにするために投資した努力を高く評価しています。 (TBR) =begin original Since much of this work is hidden from the public, crediting researchers publicly is an important part of the vulnerability remediation process. =end original この作業の多くは一般に公開されていないため、研究者への公的な信用供与は、脆弱性修復プロセスの重要な部分である。 (TBR) =head3 Credits in vulnerability announcements =begin original When security issues are fixed we will attempt to credit the specific researcher(s) that discovered the flaw in our announcements. =end original セキュリティ問題が修正された場合、我々は、我々の発表でこの欠陥を発見した特定の研究者を信用するよう試みる。 (TBR) =begin original Credits are announced using the researcher's preferred full name. =end original クレジットは研究者のフルネームで発表されます。 (TBR) =begin original If the researcher's contributions were funded by a specific company or part of an organized vulnerability research project, we will include a short name for this group at the researcher's request. =end original 研究者の貢献が特定の企業または組織された脆弱性研究プロジェクトの一部から資金提供を受けた場合は、研究者の要請に応じて、このグループの略称を含める。 (TBR) =begin original Perl's announcements are written in the English language using the 7bit ASCII character set to be reproducible in a variety of formats. We do not include hyperlinks, domain names or marketing material with these acknowledgments. =end original Perlの発表は、さまざまなフォーマットで再現できるように、7ビットASCII文字セットを使用して英語で書かれています。 ハイパーリンク、ドメイン名、マーケティング資料は、これらの謝辞に含まれていません。 (TBR) =begin original In the event that proper credit for vulnerability discovery cannot be established or there is a disagreement between the Perl security team and the researcher about how the credit should be given, it will be omitted from announcements. =end original 脆弱性発見のための適切なクレジットが確立できない場合や、クレジットをどのように与えるべきかについてPerlセキュリティチームと研究者の間で意見の相違がある場合には、発表から除外されます。 (TBR) =head3 Bounties for Perl vulnerabilities =begin original The Perl project is a non-profit volunteer effort. We do not provide any monetary rewards for reporting security issues in Perl. =end original Perlプロジェクトは非営利のボランティア活動です。 Perlでセキュリティ問題を報告することに対して金銭的な報酬は提供しません。 (TBR) =begin original The L offers monetary rewards for some Perl security issues after they are fully resolved. The terms of this program are available at L. =end original Lは、Perlのセキュリティ問題が完全に解決された後に金銭的な報酬を提供します。 このプログラムの条件はLで入手できます。 (TBR) =begin original This program is not run by the Perl project or the Perl security team. =end original このプログラムは、PerlプロジェクトやPerlセキュリティチームによって実行されるものではありません。 (TBR) =begin meta Translate: Kentaro Shirakata Status: in progress =end meta =cut