bitbank-lab-mcp は最新の minor 系列のみをサポートします。
0.x の間は最新 patch のみがセキュリティ修正の対象です。
| Version | サポート |
|---|---|
| 最新の 0.x.y | ✅ |
| それ以前 | ❌ |
本リポジトリは bitbank のバグバウンティプログラムの対象範囲外です。
bitbank のバグバウンティ scope は bitbank.cc / app.bitbank.cc / api.bitbank.cc のみが対象であり、本リポジトリで発見された脆弱性に対する報奨金の支払いはありません(詳細: bitbank セキュリティについて)。
ただし、セキュリティに関するご指摘はコントリビューションとして歓迎します。機微な内容(未公開の脆弱性など)は GitHub の "Private vulnerability reporting" をご利用ください。
https://github.com/bitbankinc/bitbank-lab-mcp/security/advisories/new から 非公開でご報告ください。
ご報告に含めていただきたい情報:
- 影響を受けるバージョン
- 再現手順(最小ケース)
- 想定される影響(資金影響の有無 / 鍵漏洩の可能性 / リモート実行の可否)
- PoC があれば添付
src/およびtools/配下のコード(公開された MCP サーバーで再現できる挙動)- 公開済み npm パッケージ
bitbank-lab-mcpの tarball 内容 - API 鍵の取り扱い(env、HMAC 署名)に関する欠陥
- 取引系ツールの 2 ステップ確認(
preview_*→create_order/cancel_order/cancel_ordersのconfirmation_token)の bypass
- bitbank API 自体の脆弱性(bitbank セキュリティについて に従ってご報告ください)
- ユーザーが手元で書いた skill / hook / plugin の挙動
- ソーシャルエンジニアリング / フィッシング
- 受領後に CVE 採番が妥当な severity であれば GHSA を起票します
- 修正版リリース時に CHANGELOG / GHSA 上でクレジット表記します(希望者のみ)
npm auditを CI で実行し、依存の既知脆弱性を継続的に検出- Dependabot で依存を weekly 更新
- OIDC trusted publishing +
--provenanceで改ざん検出を可能化 filesallowlist で不要ファイル(.env*等)を tarball から排除- Private POST(注文・キャンセル系)はリトライ無効化で冪等性を保護(
src/private/client.tsのpost()がretries: 0を強制)