Schwachstellen und Umgang mit Vorfällen¶
Product vulnerability reports¶
Siehe auch
Bitte lesen Sie KI zum Erstellen von Problemen verwenden, falls Sie mithilfe von KI ein Sicherheitsproblem in Weblate entdeckt haben.
Das Entwicklungsteam von Weblate hat sich verpflichtet, sicherheitsrelevante Probleme verantwortungsbewusst zu melden und offenzulegen. Wir haben Richtlinien eingeführt und befolgen diese, die darauf ausgerichtet sind, Weblate zeitnah mit Sicherheitsupdates zu versorgen.
Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.
Die meisten normalen Fehler in Weblate werden an unseren öffentlichen GitHub-Issues-Tracker gemeldet, aber aufgrund der sensiblen Natur von Sicherheitsproblemen bitten wir darum, sie nicht auf diese Weise öffentlich zu melden.
Wenn Sie stattdessen glauben, etwas in Weblate gefunden zu haben, das Auswirkungen auf die Sicherheit hat, senden Sie bitte eine Beschreibung des Problems an security@weblate.org, GitHub oder über HackerOne.
Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.
Ein Mitglied des Sicherheitsteams wird Ihnen innerhalb von 48 Stunden antworten, und je nachdem, welche Maßnahmen ergriffen werden, können Sie weitere E-Mails erhalten.
Bemerkung
Verschlüsselte Berichte senden
Wenn Sie eine verschlüsselte E-Mail (optional) senden möchten, bitte den öffentlichen Schlüssel für security@weblate.org mit der ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93 verwenden.
Dieser öffentliche Schlüssel ist auf den gebräuchlichsten Schlüsselservern verfügbar, mit WKD oder direkt von weblate.org.
Hinweis
Weblate ist für viele Dinge von Komponenten Dritter abhängig. Falls Sie eine Schwachstelle finden, die eine dieser Komponenten betrifft, melden Sie diese bitte direkt an das entsprechende Projekt.
Einige davon sind:
Siehe auch
Weblate-operated service incidents¶
Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Vorfallsreaktionsplan für Weblate.
When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Richtlinie zur Offenlegung von Schwachstellen on this page.
Self-hosted deployment incidents¶
Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Vorfallsreaktionsplan für Weblate can be used as a reference, but it is not a maintained incident response plan for third-party deployments.
If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.
Richtlinie zur Offenlegung von Schwachstellen¶
For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.
Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.
Alle Benutzer von Hosted oder Dedicated Weblate, die von einem schwerwiegenden Vorfall oder einer aktiv ausgenutzten Schwachstelle betroffen sind, werden innerhalb von 7 Tagen benachrichtigt.