セキュリティ

Mermaid チームは、Mermaid および Mermaid を使用するアプリケーションのセキュリティを真剣に考えています。このページでは、発見した脆弱性を報告する方法と、脆弱性を導入するリスクを最小限に抑えるためのベストプラクティスについて説明します。

脆弱性の報告

脆弱性を報告するには、問題の説明、問題を作成するために行った手順、影響を受けるバージョン、および既知の場合は問題の軽減策を記載したメールをsecurity@mermaid.liveまでお送りください。

3 営業日以内に返信することを目指しています。おそらくもっと早く返信できるでしょう。

報告された問題を解決するために協力することになります。迅速な対応と定期的な更新がない場合は、security@mermaid.liveに再度ご連絡ください。

公開 Discord チャットチャンネルを通じてチームに連絡することもできます。ただし、問題を報告する場合は必ずメールでsecurity@mermaid.liveに連絡し、脆弱性に関する情報を公開しないようにしてください。これはユーザーを危険にさらす可能性があるためです。

ベストプラクティス

最新の Mermaid リリースを常に使用してください。Mermaid は定期的に更新されており、これらの更新によって以前のバージョンで発見されたセキュリティ上の欠陥が修正される場合があります。セキュリティ関連の更新については、Mermaid のリリースノートを確認してください。

アプリケーションの依存関係を最新の状態に保ちます。パッケージの依存関係をアップグレードして、依存関係を最新の状態に保つようにしてください。依存関係を特定のバージョンに固定することは避け、もし固定する場合は、依存関係にセキュリティ更新プログラムがあるかどうかを定期的に確認し、必要に応じて固定を更新してください。

DomPurify の設定

デフォルトでは、Mermaid はベースラインのDOMPurify設定を使用します。Mermaid オプションに `dompurifyConfig` キーを追加することで、DOMPurify に渡されるオプションを上書きすることができます。これにより、Mermaid の出力が破損する可能性があるため、注意して使用してください。