セキュリティ
PlayCanvasはSnap Inc.の一部であり、PlayCanvasサービスに影響するセキュリティ脆弱性は、SnapのHackerOneバグバウンティプログラムを通じて処理されます。
私たちはプラットフォームのセキュリティを真剣に受け止めており、セキュリティ研究者からの報告を歓迎します。PlayCanvasのいずれかのサービスに脆弱性を発見した場合は、HackerOneを通じて責任を持って報告してください。条件を満たす報告は、報奨金の対象となる場合があります。
脆弱性の報告方法
SnapのHackerOneプログラムを通じて報告を提出してください。
備考
HackerOneがセキュリティ報告の公式チャネルです — PlayCanvasやSnapのサポートにメールを送らないでください。HackerOneを通じて提出された報告は当社のセキュリティチームに直接届き、バウンティプログラムの対象となります。
対象となるPlayCanvasドメイン
以下のPlayCanvasドメインがバグバウンティプログラムの対象です。
| ドメイン | 用途 |
|---|---|
playcanvas.com | メインウェブサイト、ダッシュボード、Editor |
developer.playcanvas.com | 開発者ドキュメント(このサイト) |
forum.playcanvas.com | コミュニティフォーラム |
launch.playcanvas.com | アプリ起動 / プレビューサーバー |
login.playcanvas.com | 認証サービス |
msg.playcanvas.com | メッセージングサービス |
relay.playcanvas.com | リアルタイムメッセージリレー |
rt.playcanvas.com | リアルタイムコラボレーションサーバー |
store.playcanvas.com | アセットストア |
playcanv.as | 公開されたアプリのホスティング |
最新の対象範囲、適格性ルール、プログラムポリシー全文については、公式のHackerOneポリシーおよび対象範囲ページを参照してください。
責任ある開示
脆弱性を報告する際は、以下にご協力ください。
- HackerOneを通じて提出する — これがセキュリティ報告の唯一のサポートされたチャネルです。
- 明確な再現手順を提供する — URL、リクエスト/レスポンスの例、スクリーンショット、関連する場合は概念実証コードを含めてください。
- サービスを妨害しない — サービス拒否テストを実行したり、ユーザーをスパムしたり、自分のものではないデータにアクセスしたりしないでください。
- 修正のための時間を確保する — 公開での開示の前に、調査と修正のための合理的な時間を私たちに与えてください。
セキュリティ以外の問題
機能上のバグ、機能リクエスト、一般的な質問については、代わりに適切なチャネルを使用してください。
- Engine、Editor、その他のオープンソースのバグ — 関連するGitHubリポジトリでIssueを提出してください。
- アカウント、請求、プラットフォームに関する質問 — アカウント管理をご覧ください。
- ヘルプとディスカッション — フォーラムまたはDiscordをご覧ください。
PlayCanvasおよびそのユーザーの安全を守るためのご協力に感謝いたします。