Qt のセキュリティ

Qt のセキュリティは、Qt Group と Qt Project によって作成され、維持されているインフラに依存しています。このインフラには、開発環境、テスト環境、ビルド環境が含まれます。例えば、確立されたコードレビュープロセス、静的アナライザやファジングツールを使用したテストプロセス、サードパーティコンポーネントのテスト、各リリースのアンチウイルステストなどがあります。また、Qt はセキュリティの脆弱性を扱うためのプロセスも確立しています。

Qt プロジェクトセキュリティポリシー

Qt Project はQUIP 15 でセキュリティポリシーを規定しています。セキュリティポリシーの概要

• Qt にはコアセキュリティチームがあり、セキュリティポリシーを実施し、問題に対処します。
• セキュリティ問題を未然に防ぐための積極的な対策 - コードレビュー、コード解析、ファズテストなど。
• セキュリティ問題の報告：コアセキュリティチームは Qt モジュールと影響を受けるサードパーティコンポーネントのセキュリティ問題を監視します。
• セキュリティ問題の処理： メンテナ、Core セキュリティチーム、チーフメンテナ、Qt Company がセキュリティ問題を共有し、処理します。
• Common Vulnerabilities and Exposures データベースで確認されたセキュリティ問題を公開し、Qtannounce@qt-project.orgメーリングリストで公表します。

セキュリティ問題の報告

Qt 製品のセキュリティ問題を報告するには、security@qt-project.org の Security Mail List にメールを送ってください。コアセキュリティチームは営業日（週末を除く）に受信メールを監視し、モデレートします。セキュリティメールリストにメールを送信すると、2営業日以内に受信の確認があります。返信がない場合、報告者はチーフメンテナに直接連絡してください。

ウェブサイトや Qt Account などの Qt Company のサービスに関する問題を報告する場合は、security@qt.io までメールをお送りください。

Qt グループ商用セキュリティ契約

商用ライセンスの場合、Qt Company サポートチームに問題を報告するには、サポートポータルのSecurity Issuesカテゴリを使用してください。問題がセキュリティメールリストに転送されると、報告者に確認通知が送られます。

詳細については、責任ある脆弱性開示同意のページをご覧ください。

ソフトウェア部品表（SBOM）

Qt 6.8 から、インストールされた Qt モジュール、パッケージ、サードパーティコンポーネントに関する情報を SPDX 形式で含む SBOM (Software Bill of Materials) ドキュメントが Qt のインストールに含まれるようになりました。SBOM ファイルを使用することで、脆弱性管理やライセンスコンプライアンスのためにインストールされた Qt パッケージを追跡することができます。

• ソフトウェア部品表
• SPDX フォーマットの概要

信頼できないデータ

Qt のいくつかのモジュールは、ユーザー入力や実行可能リソースなどのデータを扱います。Qt では、アプリケーション開発者が信頼できないデータを適切に扱うことを期待しています。もし Qt API が、アプリケーションが処理を行う前に信頼できないデータを取得し処理する場合、Qt はその API をセキュリティクリティカルとみなします。セキュリティ・クリティカルなAPIは、開発中に特別な精査とテストが行われます。

一般的に、未知のソースからの未処理のデータは可能な限り避け、データを扱う際には安全な手続きを行ってください。Qt では、ユーザー入力のバリデータなど、データを処理するためのメカニズムをいくつか提供しています。

詳細は「信頼できないデータの取り扱い」を参照してください。

パーミッション

Qt 6.5 では、パーミッションを扱うためのクロスプラットフォームのパーミッション API が導入されました。パーミッション API は、連絡先リスト、カレンダー、カメラ、マイクなど、ユーザー関連のプライベートデータやハードウェアのためのものです。

詳細については、アプリケーションのパーミッション を参照してください。