安全

Weights & Biases プラットフォームは、データの保護とセキュリティを確保するための強力なセキュリティ機能を提供します。データは、認証、承認、暗号化などの事前構成されたセキュリティ機能によって保護されます。

さらに、Weights & Biases は組織内で業界をリードするセキュリティ制御を維持し、Weights & Biases の従業員に適切なトレーニング、アクセス、追加のセキュリティ保護を提供しています。 

アクセスプロビジョニング

お客様は、承認されたユーザーのみがお客様のプログラムとアカウントにアクセスできるように、ユーザー ベースを維持および管理します。Weights & Biases は、適切なアクセス管理に必要となるレベルの細分性を提供するために、ロールベースのアクセス制御 (RBAC) を提供します。

セキュリティテスト

データのセキュリティを確保するには、脆弱性を特定し、適時に修復することが重要です。Weights & Biases では、定期的な脆弱性テストと侵入テストを組み合わせて使用​​し、この目標を達成しています。

監査とコンプライアンス

Weights & Biases は、内部監査プログラムとサードパーティ監査人を活用して、成熟した監査およびコンプライアンス プログラムを維持しています。

Weights & Biases は SOC2 および HIPAA に準拠しています。 

暗号化

Weights & Biases データ暗号化は、転送中は TLS 1.2+ を使用して、保存中は AES 256 を使用してデータを保護する強力な機能を提供し、データがライフサイクル全体にわたって暗号化されることを保証します。 

認証と認可

顧客データを安全に保護することは、Weights & Biases の DNA に深く根付いています。適切なアクセス制御はこのミッションの一部です。Weights & Biases は、認証と承認のためのいくつかの手段を提供しています。その 1 つが、OIDC、LDAP、または SAML を使用したシングル サインオン (SSO) です。

バグ報奨金プログラムの概要

Weights & Biases バグバウンティ プログラムへようこそ! 熟練したサイバーセキュリティ愛好家や倫理的なハッカーの皆様を、システムのセキュリティ強化にご参加いただけることを嬉しく思います。このプログラムでは、デジタル インフラストラクチャ内の脆弱性を特定する際に、専門知識と創造性を活かす機会を提供します。参加することで、セキュリティ体制の強化に貢献できるだけでなく、ユーザーのデータのプライバシーと整合性を保護する上で重要な役割を果たすことになります。より安全なデジタル環境を構築するという私たちの使命にご参加いただき、バグを撲滅し、防御を強化するために協力しましょう。

範囲

この範囲セクションのドメインに関する調査結果のみが賞の対象となります。また、以前に報告され追跡された調査結果は賞の対象にはなりません。

https://qa.wandb.ai
https://api.qa.wandb.ai

その他のサブドメインはすべて範囲から除外されます。

範囲の除外

  • サービスの拒否(特に、アクションを実行した人だけがサービスを拒否される自己 DoS 問題)
  • レート制限バイパス(セキュリティに直接影響を与えるものを除く)
  •  メールを送信しないドメインにはDKIM/DMARC/SPF DNS レコードがない
  • センシティブなアクションのないページでのクリックジャッキング
  • オープンリダイレクト(認証トークンを任意のドメインに送信するなど、セキュリティに直接影響を与えるものを除く)
  • 認証されていないフォームまたは機密性の高いアクションのないフォームでのクロスサイトリクエストフォージェリ(CSRF)
  • ユーザーのデバイスへの中間者攻撃または物理的アクセスを必要とする攻撃
  • 概念実証が機能していない、以前から脆弱であることが知られているライブラリ
  • SSL/TLS 構成のベスト プラクティスが欠落しています。
  • 攻撃ベクトルを表示せず、HTML/CSS を変更できないコンテンツのなりすましやテキスト挿入の問題
  • ソフトウェアバージョンの開示

関与規則

当社は、以下の内容を含む質の高いレポートのみを受け入れます。

  • 明確で再現可能な手順による問題の詳細な説明
  • 概念実証を示すスクリーンショットやビデオ
  • 脆弱性の影響
  • セキュリティ チームへのメールの件名に「Bug Bounty Program Disclose: [脆弱性]」と記入してください。
  • テスト中はUser-Agent文字列「bugbountyresearcher_<your_username>」を使用します。
  • テストを行うための専用アカウントを作成し、レポートにアカウントのメール/ユーザー名を含めます。
  • 自分のアカウントに対してのみテストを実行する
  • プライバシー侵害、データ破壊、サービス低下を回避するために誠意を持って努力する

非開示

Weights & Biases に脆弱性を報告する個人は、NDA に署名する必要があります。Weights & Biases セキュリティ チームが署名用の NDA を提供します。 

プログラムポリシー

  • 自動化された脆弱性スキャナー/ツールを使用しないでください
  • 概念実証を超えて脆弱性を悪用しないでください
  • サービス拒否攻撃やブルートフォース攻撃を行わないでください
  • ソーシャルエンジニアリングやフィッシング攻撃など、当社の従業員やエンドユーザーに対するいかなる攻撃も行わないでください。
  • テスト中は、テスト データがサードパーティのインフラストラクチャを通過することを許可しないでください。すべてのトラフィックが、自分だけが制御できるドメインを通過するようにしてください。脆弱性や機密データを公開すると、報酬が完全に没収されます。
  • 調査の過程で、自分のものではないユーザー情報に遭遇した場合は、調査を中止して当社のチームに報告してください。調査いたします。このデータを保存、コピー、転送、またはその他の方法で使用しないでください。他者のデータにアクセスし続けることは、当社の行動規範違反とみなされる可能性があります。

制裁対象の国または団体

プログラムに参加する個人は、米国が輸出制裁またはその他の貿易制限を発令している国(例:キューバ、イラン、北朝鮮、シリア、クリミア地域、または米国財務省外国資産管理局が指定するその他の管轄区域または地域)の居住者であったり、またはこれらの国から申請を行ったりすることはできません。

年齢制限

脆弱性を提出したい研究者は 16 歳以上である必要があります。16 歳以上であっても居住地で未成年とみなされる場合は、参加する前に親または法定後見人の許可を得る必要があります。

バグを報告

脆弱性はsecurity@wandb.comに報告できます。 

  • セキュリティ チームへのメールの件名に「Bug Bounty Program Disclose: [脆弱性]」と記入してください。
  • 報告に関する詳細については、交戦規則を参照してください。

階層

賞金は以下の階層に分類されます:

レベル 3: 重大度の低いバグ ($50 – $100)

  • 自己XSS(悪用するにはブラウジング以外の操作を必要とするXSS)
  • サーバーの設定ミスまたはプロビジョニングエラー
  • その他、Weights & Biases セキュリティチームによって重大度が低いと判断された問題

 
レベル 2: 中程度の重大度のバグ ($100 – $300)

  • メンバーのみがアクセスできるページでのXSS
  • 機密性の高いアクションや機能に対するクロスサイト リクエスト フォージェリ (CSRF/XSRF)
  • 重みとバイアスのセキュリティチームによって中程度の重大度と判断されたその他の問題


ティア 1: 重大度の高いバグ ($300 – $750)

  • ログインせずにアクセスできるページでのXSS
  • セッションハイジャック
  • 会員データの流出

ティア 0: 重大なバグ ($750 – $1000)

  • SQLインジェクション
  • リモートコード実行
  • 権限昇格
  • 内部サービスへのSSRF

 

セキュリティ情報をリクエストする

SOC2 レポート、ペネトレーション テスト、または追加のドキュメントに関する追加情報は、以下からリクエストできます。コメントボックスにリクエストについて明確に記載してください。  

サブプロセッサー

以下のページに変更があった際に通知を受け取りたい場合は、表の下にあるフォームにご記入ください。

Company Location Additional Details
AWS United States or as chosen by the customer Cloud Hosting Provider- IaaS
Azure United States or as chosen by the customer Cloud Hosting Provider- IaaS
GCP United States or as chosen by the customer Cloud Hosting Provider- IaaS
Clickhouse United States Data Hosting Provider for Weave
Census United States Data ETL
Datadog United States or as chosen by the customer Platform monitoring
dbt Labs United States Data ETL
FullStory United States or as chosen by the customer Session Recording
Segment United States Analytics Platform
Tableau United States Analytics Platform