脆弱性の協調的な対応および開示プロセス 

SMAは、製品・サービスおよびそれらを利用するユーザー・顧客の安全性とセキュリティの確保に尽力しています。SMAは製品、ソリューション、サービス、ITインフラのセキュリティを確保するために、包括的かつ総合的なアプローチを採用しています。このアプローチには、報告されたセキュリティ脆弱性の対応や修正のプロセスが含まれています。 

SMAは、「お問い合わせ先」セクションに記載されている方法で脆弱性レポートを提出する個人および組織に対し誠意を持って対応いたします。SMAは、SMA製品、ソリューション、サービス、およびITインフラストラクチャに関するレポートを積極的に受け入れており、セキュリティ問題を倫理的に報告する個人および組織を歓迎いたします。 

SMAは、以下の報告者に対して法的な責任を問うことは意図しておりませんので、ご安心ください。 

• 誰にも害を与えずにテストや調査を行うこと 

• 顧客に影響を与えず、または顧客から事前に許可を得て脆弱性テストを実施すること 

• 適用される法律を遵守すること 

• 協調的な開示を行うこと 

• 安全性、セキュリティ、プライバシーに影響を与えないこと 

SMA（またはconeva GmbH）の製品、ソリューション、ITインフラコンポーネントに影響を与えるセキュリティ脆弱性を報告するには、お問合せ欄に記載された方法でSMAにご連絡ください。SMAは、報告を受け取ってから3営業日以内に受領を通知し、関連するステータスの変更について適時に情報を提供します。 

報告時には以下の情報をご提供ください： 

• 影響を受ける製品、サービス、ITインフラコンポーネント（モデル、ファームウェアバージョン、シリアル番号など） 

• 問題の詳細な説明と、観察された現象を再現するための手順 

• その脆弱性がすでに公開されているかどうか 

SMAは、研究者、業界団体、CERT、パートナー、その他の情報源からの脆弱性報告を歓迎します。報告の受領にあたり、秘密保持契約（NDA）は不要で、協調的開示プロセス中にNDAを求めることもありません。 

SMAは報告者の利益を尊重し、匿名での報告も受け付けています。SMA製品、ソリューション、ITインフラコンポーネントに関連する脆弱性はすべて対応対象とします。 

SMAは、報告者に対して協調的開示を強く推奨します。脆弱性の即時公開は0-day状況を引き起こし、システムを危険にさらす可能性があります。特にこれらのシステムが重要インフラの一部である場合は注意が必要です。 

SMAは、CERT@VDEのメンバーです。 
すべての勧告およびSMAの報告に関するニュースフィードは、CERT@VDEで確認できます。