# セキュリティポリシー

## 対象範囲

このプロジェクトのセキュリティ確認は、配布レーンごとに分けて扱います。

- **source repository**: 公的・学際的レビューの正本です。`.github`、CODEOWNERS、実行手順、文書、所定の配布ツールを含みます。
- **external_complete**: 証跡付きの検証用ZIPです。配布物内で自己検査するための証跡と検証ツールを含みますが、web公開用のルートではありません。
- **public_runtime_secure**: 静的ホスティング用の最小配布物です。`docs/CODEX`、tools、証跡束、service-worker/PWA shell cache、`lab.html` は意図的に含めません。

実際の公開 web 完了は、実在する `PHASE1_HOSTING_ORIGIN` が厳格なホスティングヘッダー検証を通った後にだけ主張します。

## 報告方法

攻撃再現手順の詳細は、保守者が確認する前に公開Issue、SNS、スクリーンショット、共有文書へ公開しないでください。

非公開 repository の場合は、その repository または配布物を受け取った非公開レビュー窓口を使ってください。非公開窓口がない場合は、詳細を送る前に保守者へ非公開連絡手段を依頼してください。

将来 public GitHub repository として公開された場合は、利用可能であれば GitHub Security Advisories を使ってください。Security Advisories が有効でない場合は、CODEOWNERS に記載された repository owner に連絡し、最小再現例を送る前に非公開の脆弱性報告窓口を依頼してください。

報告には、可能な範囲で次を含めてください。

- 影響を受けるレーン: source repository、`external_complete`、`public_runtime_secure`、または公開中のホスティング環境。
- commit hash、または ZIP ファイル名と SHA-256。
- 破壊を伴わない最小限の再現手順。
- ローカルファイルへのアクセス、同一 origin のブラウザ保存領域、公開HTTPS環境へのアクセス、悪意あるパッケージミラーのどれが必要か。
- console error、network request、生成された証跡ファイル。

## 許可された検証境界（安全な検証境界）

事前承認なしで許可されること:

- source repository または配布 ZIP に含まれるファイルの静的レビュー。
- 文書化済みの実行手順と配布物内自己検査のローカル実行。
- 自分で展開した `public_runtime_secure` に対するローカルブラウザ検証。
- AI 補助または自動化された脆弱性探索。ただし、同じローカル・静的境界内に留まり、破壊的な入力を生成せず、保守者の端末やブラウザプロファイルに永続状態を残さない場合に限ります。
- 古い説明、不正確な主張、ヘッダー不足、配布境界の欠陥の報告。

明示的な承認なしでは許可されないこと:

- 破壊的テスト。
- DoS（サービス妨害）または負荷テスト。
- 公開中または未公開のホスティングorigin、クラウドアカウント、ブラウザプロファイル、ローカル端末に対する高頻度の自動 scan（自動スキャン）、自律的な攻撃試行、永続化テスト。これらは明示的な書面承認なしでは実施できません。
- 他者の端末、ブラウザプロファイル、クラウドアカウント、未公開ホスティングoriginへのアクセス試行。
- 初期確認前の攻撃手順公開。
- 公式配布物を改変し、正規リリースであるかのように再配布すること。

## 既知の境界

- `lab.html` と `lab_active` は研究面であり、`public_runtime_secure` からは除外されます。
- Ximön、Persistence Affect、Canonical Functional Profile、Psychoacoustic Terrain、Dynamic Viability Objective は、文書が明示しない限り観測面です。意識、生物同等性、人間的感情の主張ではありません。
- canary hosting は、意図的な検索可能公開リリースが承認されるまで、`noindex`、`no-store`、短期 HSTS を使います。
- 将来のリリース文書が明示しない限り、本プロジェクトには公開バグ報奨制度や報酬制度はありません。

## 期待される対応

保守者は、有効な非公開報告を受領したら、該当レーンで再現し、修正と検証経路を記録します。修正の際も、Gate3 repeatability、Gate4 invariants、snapshot/restore、preference input、public distribution hygiene を弱めてはいけません。
