このドキュメントでは、zangetsu-dataプロジェクトのセキュリティポリシーについて説明します。セキュリティの脆弱性を発見した場合や、安全な使用方法について質問がある場合は、このドキュメントに記載されているプロセスに従ってください。
現在セキュリティアップデートを受け取ることができるバージョンは以下の通りです:
| バージョン | サポート状況 |
|---|---|
| 0.1.x | ✅ サポート中 |
| < 0.1.0 | ❌ 未サポート |
zangetsu-dataのセキュリティ脆弱性を発見した場合は、以下のプロセスに従って報告してください:
- 公開の場での報告は避けてください - GitHub Issuesやパブリックフォーラムでセキュリティの脆弱性を報告しないでください
- セキュリティチームに直接連絡してください - 脆弱性の詳細を security@[your-organization].com に送信してください
- 必要な情報を含めてください:
- 脆弱性の種類と影響範囲
- 脆弱性を再現する手順
- 可能であれば、修正または回避策の提案
- 連絡先情報(任意)
セキュリティチームは報告を受け取った後、以下のステップを実施します:
- 報告の受領確認(通常48時間以内)
- 脆弱性の検証と影響評価
- 修正計画の策定と実施
- 適切なタイミングでのリリースと公開
セキュリティ関連の修正は以下のように処理されます:
- クリティカルな脆弱性: 発見後72時間以内に緊急パッチをリリース
- 重大な脆弱性: 1週間以内に修正をリリース
- 中程度の脆弱性: 次の定期リリースに含める
セキュリティアップデートは常に最新のサポート対象バージョンに適用され、変更ログにセキュリティ修正としてマークされます。
zangetsu-dataを安全に使用するために、以下のプラクティスを推奨します:
- 接続文字列にハードコードされた認証情報を含めないでください
- 環境変数または安全なシークレット管理サービスを使用してください
- 最小権限の原則に従い、必要最小限のデータベース権限のみを付与してください
# 非推奨(ハードコードされた認証情報)
db = Database("postgresql://admin:password123@localhost:5432/mydatabase")
# 推奨(環境変数を使用)
import os
db = Database(os.environ.get("DATABASE_URL"))- サービスアカウントキーファイルはリポジトリにコミットしないでください
- キーファイルへのアクセスを制限し、最小権限の原則に従ってください
- 定期的にサービスアカウントキーをローテーションしてください
# 推奨方法(環境変数経由でファイルパスを指定)
gs = GoogleSpreadsheet(credentials_path=os.environ.get("GOOGLE_CREDENTIALS_PATH"))- SQLインジェクションを防ぐため、常にパラメータ化されたクエリを使用してください
- ユーザー入力を直接クエリに挿入しないでください
# 非推奨(SQLインジェクションの危険性)
user_id = "1 OR 1=1" # 悪意のある入力
db.read_sql(f"SELECT * FROM users WHERE id = {user_id}")
# 推奨(パラメータ化されたクエリ)
db.read_sql("SELECT * FROM users WHERE id = %s", [user_id])- 本番環境では詳細なエラーメッセージを公開しないでください
- 機密情報(接続文字列、認証情報など)をログに記録しないでください
- 定期的に依存関係を更新してセキュリティパッチを適用してください
- 脆弱性スキャンツールを使用して依存関係のセキュリティを確認してください
zangetsu-dataを使用する際は、以下の認証情報管理のベストプラクティスに従ってください:
- 環境変数の使用:認証情報を環境変数に保存し、
.envファイルを.gitignoreに追加してください - シークレット管理サービス:本番環境では、AWS Secrets Manager、Google Secret Managerなどのサービスの使用を検討してください
- アクセス制限:必要最小限のアクセス権限を付与し、定期的に権限を見直してください
- 認証情報のローテーション:定期的に認証情報をローテーションしてください
| 日付 | バージョン | 説明 | 重要度 |
|---|---|---|---|
| - | - | 現時点で報告された脆弱性はありません | - |
セキュリティは私たちの最優先事項の一つです。このライブラリを安全に使用するためのガイドラインに従い、何か疑問や懸念がある場合は、開発チームにお問い合わせください。
このセキュリティポリシーは、新しい脅威や状況に対応するために定期的に更新されます。定期的に確認してください。
最終更新日: 2025年3月15日