Qt のセキュリティ

Qt のセキュリティは、Qt Group と Qt Project によって作成され、維持されているインフラに依存しています。このインフラには、開発環境、テスト環境、ビルド環境が含まれます。例えば、確立されたコードレビュープロセス、静的アナライザやファジングツールを使用したテストプロセス、サードパーティコンポーネントのテスト、各リリースのアンチウイルステストなどがあります。また、Qt はセキュリティの脆弱性を扱うためのプロセスも確立しています。

Qt プロジェクトのセキュリティポリシー

Qt Project はQUIP 15 でセキュリティポリシーを規定しています。セキュリティポリシーの概要

• Qt にはコアセキュリティチームがあり、セキュリティポリシーを実施し、問題に対処します。
• セキュリティ問題を未然に防ぐための積極的な対策 - コードレビュー、コード解析、ファズテストなど。
• セキュリティ問題の報告：コアセキュリティチームは Qt モジュールと影響を受けるサードパーティコンポーネントのセキュリティ問題を監視します。
• セキュリティ問題の処理： メンテナ、Core セキュリティチーム、チーフメンテナ、Qt グループはセキュリティ問題を共有し、処理します。
• Common Vulnerabilities and Exposures データベースで確認されたセキュリティ問題を公開し、Qtannounce@qt-project.orgメーリングリストで公表します。

  メーリングリストへの登録は、Qt Project Mailing List Information Page から行えます。

セキュリティ問題の報告

Qt 製品のセキュリティ問題を報告するには、Security Mail Listsecurity@qt-project.org にメールを送ってください。コアセキュリティチームは営業日（週末を除く）に受信メールを監視し、モデレートします。セキュリティメールリストにメールを送信すると、2営業日以内に受信の確認があります。返信がない場合、報告者はチーフメンテナに直接連絡してください。

ウェブサイトや Qt アカウントなど、Qt グループのサービスに関する問題を報告する場合は、security@qt.io にメールを送ってください。

Qt グループの商用セキュリティ契約

商用ライセンスの場合、Qt Group サポートチームに問題を報告するには、サポートポータルのSecurity Issuesカテゴリを使用してください。問題がセキュリティメールリストに転送されると、報告者に通知が送られます。

詳しくは、責任ある脆弱性開示同意のページをご覧ください。

Qt の脆弱性

技術専門家が Qt 製品のセキュリティ問題を確認すると、CVE（Common Vulnerabilities and Exposures）という項目が作成されます。CVE は ID と説明から構成されます。さらなるメタデータは時間の経過とともに追加されます。

Qt 製品については、Qt Company がCVE 番号付与機関（CNA）として CVE 作成プロセスを管理しています。Qt Company は新しい CVE をQt 製品の既知の脆弱性リストに掲載するだけでなく、中央の CVE データベースにも貢献しています。

脆弱性の影響を受ける製品を一意に識別するために、CVE はCommon Platform Enumeration(CPE) フォーマットのエントリを含んでいます。Qt フレームワークの問題については、このような CPE のベンダー部分と製品部分はqt:qt です。例えば、Qt 6.11.0 に影響する仮想的な CVE の CPE は以下のようになります：

cpe:2.3:a:qt:qt:6.11.0:*:*:*:*:*:*:*

ソフトウェア部品表（SBOM）

Qt 6.8 以降、Qt のインストールには、インストールされた Qt モジュール、パッケージ、サードパーティコンポーネントに関する情報を SPDX 形式で含む SBOM（Software Bill of Materials）ドキュメントが含まれています。SBOM ファイルを使用することで、脆弱性管理やライセンスコンプライアンスのためにインストールされた Qt パッケージを追跡することができます。

• ソフトウェア部品表
• SPDX フォーマットの概要

信頼できないデータ

Qt のいくつかのモジュールは、ユーザー入力や実行可能リソースなどのデータを扱います。Qt では、アプリケーション開発者が信頼できないデータを適切に扱うことを期待しています。もし Qt API が、アプリケーションが処理を行う前に信頼できないデータを取得し処理する場合、Qt はその API をセキュリティクリティカルとみなします。セキュリティ・クリティカルなAPIは、開発中に特別な精査とテストが行われます。

一般的に、未知のソースからの未処理のデータは可能な限り避け、データを扱う際には安全な手続きを行ってください。Qt では、ユーザー入力のバリデータなど、データを処理するためのメカニズムをいくつか提供しています。

詳細は「信頼できないデータの取り扱い」を参照してください。

パーミッション

Qt 6.5 では、パーミッションを扱うためのクロスプラットフォームのパーミッション API が導入されました。パーミッション API は、連絡先リスト、カレンダー、カメラ、マイクなど、ユーザー関連のプライベートデータやハードウェアのためのものです。

詳細については、アプリケーションのパーミッション を参照してください。

Qt 5.15 の拡張セキュリティメンテナンス

Qt 5.15 では、お客様の製品のライフサイクルが、Qt の通常のサポート期間よりも長い場合があることを認識しています。サポート終了（EoS）バージョンの Qt をお持ちのお客様には、メンテナンスサービスをご提供しています。

Qt 5.15の拡張セキュリティメンテナンスは 2025 年 5 月 26 日より開始します。拡張セキュリティメンテナンスのサブスクリプションサービスでは、サポート終了（EoS）後の一部のロングタームサポート（LTS）リリースの Qt ライブラリに関連する重要な脆弱性とセキュリティ（CVS）メンテナンスパッチへのアクセスを提供します。

詳細はQt サポートを参照してください。