以下のバージョンでセキュリティアップデートを提供しています。
| バージョン | サポート状況 |
|---|---|
| 0.4.x | ✅ |
| 0.3.x | ✅ |
| < 0.3.0 | ❌ |
sysupのセキュリティ脆弱性を発見した場合は、以下の方法で報告してください。
公開のIssueトラッカーには投稿しないでください。
セキュリティ脆弱性は、GitHub Security Advisoriesを通じて報告してください:
- リポジトリのSecurityタブに移動
- "Report a vulnerability"をクリック
- 脆弱性の詳細を記入して送信
または、メールで報告することもできます:
脆弱性報告には以下の情報を含めてください:
- 脆弱性の種類(例:RCE、SQL Injection、XSS、情報漏洩など)
- 影響を受けるファイルのフルパス
- 影響を受けるバージョン
- 脆弱性の再現手順
- 概念実証コード(PoC)(可能であれば)
- 脆弱性の潜在的な影響
- 推奨される修正方法(もしあれば)
- 受領確認: 報告を受け取ってから48時間以内に確認メールを送信します
- 初期評価: 5営業日以内に脆弱性の初期評価を行います
- 修正対応: 重大度に応じて修正を実施します
- Critical/High: 7日以内に修正をリリース
- Medium: 30日以内に修正をリリース
- Low: 次のマイナーバージョンで修正
- 公開: 修正がリリースされた後、GitHub Security Advisoriesで公開します
- Critical/High severity: パッチバージョンとして緊急リリース(例:0.4.0 → 0.4.1)
- Medium severity: 次回のマイナーバージョンに含める(例:0.4.x → 0.5.0)
- Low severity: 通常のリリースサイクルで対応
sysupを使用する際は、以下のベストプラクティスに従ってください:
- root権限での実行は避ける: 可能な限り通常ユーザーで実行してください
- 最新バージョンを使用: 常に最新の安定版を使用してください
- 依存関係の更新: 定期的に
uv syncで依存関係を更新してください
- 機密情報の保存禁止: 設定ファイルにパスワードやトークンを保存しないでください
- 適切な権限設定: 設定ファイルは
chmod 600で読み取り権限を制限してください - バックアップの暗号化: バックアップに機密情報が含まれる場合は暗号化してください
- 機密情報のマスキング: ログに機密情報が出力されないことを確認してください
- 適切なローテーション: ログファイルは定期的にローテーションしてください
- Windows側のパッケージマネージャ(Scoop、Chocolatey、winget)には未対応です
- WSL2での使用を推奨します
- 一部のパッケージマネージャ(apt、snap)はsudo権限が必要です
- パスワードレスsudoは推奨されません
- ✅ バックアップ機能: 更新前の重要な設定ファイルのバックアップ
- ✅ Dry-runモード: 実際の変更前に実行内容を確認可能
- ✅ ロギング: すべての操作を詳細にログ記録
- ✅ 静的解析: bandit、ruff、basedpyrightによるコード品質チェック
- ✅ CodeQL: 自動脆弱性スキャン
- ✅ Dependabot: 依存関係の自動更新
- 🔄 SBOM生成: ソフトウェア部品表の自動生成
- 🔄 署名検証: パッケージの署名検証機能
- 🔄 監査ログ: 詳細な監査ログ機能
- メンテナ: scottlz0310
- リポジトリ: https://github.com/scottlz0310/sysup
- Issue Tracker: https://github.com/scottlz0310/sysup/issues
最終更新: 2025-10-09 次回レビュー: v0.5.0リリース時