Schwachstellen und Umgang mit Vorfällen

Sicherheitslücken melden

Siehe auch

Bitte lesen Sie KI zum Erstellen von Problemen verwenden, falls Sie mithilfe von KI ein Sicherheitsproblem in Weblate entdeckt haben.

Das Entwicklungsteam von Weblate hat sich verpflichtet, sicherheitsrelevante Probleme verantwortungsbewusst zu melden und offenzulegen. Wir haben Richtlinien eingeführt und befolgen diese, die darauf ausgerichtet sind, Weblate zeitnah mit Sicherheitsupdates zu versorgen.

Die meisten normalen Fehler in Weblate werden an unseren öffentlichen GitHub-Issues-Tracker gemeldet, aber aufgrund der sensiblen Natur von Sicherheitsproblemen bitten wir darum, sie nicht auf diese Weise öffentlich zu melden.

Wenn Sie stattdessen glauben, etwas in Weblate gefunden zu haben, das Auswirkungen auf die Sicherheit hat, senden Sie bitte eine Beschreibung des Problems an security@weblate.org, GitHub oder über HackerOne.

Ein Mitglied des Sicherheitsteams wird Ihnen innerhalb von 48 Stunden antworten, und je nachdem, welche Maßnahmen ergriffen werden, können Sie weitere E-Mails erhalten.

Bemerkung

Verschlüsselte Berichte senden

Wenn Sie eine verschlüsselte E-Mail (optional) versenden möchten, bitte den öffentlichen Schlüssel für security@weblate.org mit der ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93 verwenden.

Dieser öffentliche Schlüssel ist auf den gebräuchlichsten Schlüsselservern verfügbar, mit WKD oder direkt von weblate.org.

Hinweis

Weblate ist für viele Dinge von Komponenten Dritter abhängig. Falls Sie eine Schwachstelle finden, die eine dieser Komponenten betrifft, melden Sie diese bitte direkt an das entsprechende Projekt.

Einige davon sind:

• Django

• Django REST-Framework

• Python Social Auth

Siehe auch

• Probleme in Weblate melden

Richtlinie zur Offenlegung von Schwachstellen

Innerhalb von 30 Tagen nach einer Veröffentlichung, die das Beheben einer Schwachstelle enthält, wird ein Sicherheitshinweis unter https://github.com/WeblateOrg/weblate/security/advisories veröffentlicht. Wenn möglich, wird der Hinweis sofort mit einer neuen Version veröffentlicht.

Jede aktiv ausgenutzte Schwachstelle oder schwerwiegende Vorfälle werden dem CSIRT innerhalb von 24 Stunden gemeldet, allgemeine Informationen werden dem CSIRT innerhalb von 72 Stunden zur Verfügung gestellt, und ein vollständiger Bericht wird innerhalb von 14 Tagen bereitgestellt.

Alle Benutzer von Hosted oder Dedicated Weblate, die von einem schwerwiegenden Vorfall oder einer aktiv ausgenutzten Schwachstelle betroffen sind, werden innerhalb von 7 Tagen benachrichtigt.