Security Policy

方針

本プロジェクトは OWASP Top 10 (2021) および lumikit セキュリティ仕様に準拠しています。HIGH/CRITICAL 脆弱性ゼロを常時維持する ことを目標としています。

監査ベースライン

依存関係の脆弱性は npm audit --audit-level=high で 定期チェックしています。HIGH/CRITICAL 1件でも検出された場合は即修正、 Moderate 以下は影響評価のうえ受容可否を判断します。

受容済み Moderate 脆弱性（2026-06-20 時点）

本プロジェクトの脅威モデルで実害が及ばないと判断した Moderate 脆弱性 は受容しています。受容理由は下記のとおりです:

1. gray-matter → js-yaml (GHSA-h67p-54hq-rp68)

• 種別: js-yaml v3 系のマージキー再帰による DoS
• 影響経路: content/posts/*.md の フロントマター YAML パース
• 緩和: フロントマターは本サイトの所有者のみが執筆。 外部入力 YAML はランタイムで解析しないため未到達。

2. esbuild (drizzle-kit 経由) (GHSA-67mh-4wv8-2f99)

• 種別: dev サーバから任意 origin がレスポンス読み取り可
• 影響経路: ローカル drizzle-kit ツーリングのみ
• 緩和: 本番ランタイムには含まれない。dev 中は信頼できない サイトの閲覧を避ける運用ガイドライン。

3. postcss (next 経由) (GHSA-qx2v-qp2m-jg93)

• 種別: CSS stringify 出力での </style> エスケープ漏れ
• 影響経路: ビルド時の Tailwind コンパイル
• 緩和: ビルド時のみ動作、ユーザー入力 CSS を渡す経路なし。

脆弱性開示（Responsible Disclosure）

本サイト・公開ソフトウェアに脆弱性を発見された場合は、security@lumikit.dev までご連絡ください。

新規報告は 5営業日以内に受領確認することを目標としています。

報告には下記を含めてください:

• 事象の概要と推定影響
• 再現手順 または 最小の Proof-of-Concept
• 検証時の URL / コミットハッシュ
• クレジット表記の希望氏名（または「匿名」）

未公開の脆弱性を GitHub の Public Issue として報告しないでください。 非公開で連絡をいただいた上で、修正完了後に協調公開を行います。

機械可読メタデータ

セキュリティスキャナや bug bounty プラットフォーム向けに RFC 9116 形式の security.txt を提供しています。

Last updated: 2026-06-22