ConoHa VPS MCP の脆弱性を発見した場合は、責任ある開示の原則（Coordinated Vulnerability Disclosure, CVD）に従って報告してください。 内容を確認し、必要に応じてパッチを適用してリリースノートで周知します。

公開の GitHub Issue は 使用しない でください 以下のいずれかの手段でご連絡をお願いします。

📝 注記: 報告を確認し次第対応します。受領確認や進捗の連絡は基本的に行いませんが、必要に応じて連絡することがあります。

• 宛先 : vuln-report@conoha.jp
• 件名 : [SECURITY] ConoHa VPS MCP 脆弱性報告
• 本文 : 下記の情報を可能な限り詳細にご記載ください。

• 脆弱性の概要：問題の簡潔な説明
• 影響範囲：影響を受けるコンポーネントやバージョン
• 攻撃シナリオ：脆弱性がどのように悪用され得るか
• 再現手順：問題を再現するための詳細な手順
• 環境情報：OS、Node.js バージョン、その他関連環境情報

件名: [SECURITY] ConoHa VPS MCP 脆弱性報告

脆弱性の概要:
認証情報が平文でログに出力される

影響範囲:
- ConoHa VPS MCP v0.1.0
- src/features/openstack/common/openstack-client.ts

攻撃シナリオ:
ログファイルへのアクセス権を持つ攻撃者が ConoHa API のアクセストークンを取得可能

再現手順:
1. デバッグモードで MCP サーバーを起動
2. ConoHa API で認証を実行
3. ログファイルを確認すると平文のトークンが記録されている

環境情報:
- OS: Ubuntu 22.04
- Node.js: v24.0.0
- ConoHa VPS MCP: v0.1.0

1. 初期確認 — 報告受領後に内容を確認
2. 影響評価 — 深刻度と影響範囲を評価
3. 修正作業 — 必要に応じてパッチを開発
4. リリース — セキュリティアップデートを公開
5. 通知 — リリースノートで周知し、必要に応じ報告者へ連絡

• 最新バージョンを使用してください。
• アップデート情報はリリースノートで確認できます。

• ConoHa API の認証情報は環境変数で管理してください。
• 認証情報をコードやログに含めないでください。
• 定期的な認証情報のローテーションを推奨します。

• ConoHa API の認証トークンは広範な権限を持つ場合があります。
• 必要最小限の権限のみを使用してください（最小権限の原則）。

• ConoHa API との通信は HTTPS 経由で行われます。
• 中間者攻撃 (MITM) を防ぐため、証明書検証を無効化しないでください。

• MCP サーバーはローカルネットワーク内での使用を前提としています。

• Node.jsやnpmパッケージのセキュリティアップデートを定期的に確認してください。
• 脆弱性のある依存パッケージは速やかに更新してください。

機密保持 報告内容は修正版がリリースされるまで機密として扱います。 報告者の方も、修正版リリースまで情報の非公開にご協力ください。