Schwachstellen und Umgang mit Vorfällen

Melden von Sicherheitslücken

Siehe auch

Bitte lesen Sie Verwenden von KI zum Erstellen von Problemen, falls Sie mithilfe von KI ein Sicherheitsproblem in Weblate entdeckt haben.

Das Entwicklungsteam von Weblate hat sich verpflichtet, sicherheitsrelevante Probleme verantwortungsbewusst zu melden und offenzulegen. Wir haben Richtlinien eingeführt und befolgen diese, die darauf ausgerichtet sind, Weblate zeitnah mit Sicherheitsupdates zu versorgen.

Die meisten normalen Fehler in Weblate werden an unseren öffentlichen GitHub-Issues-Tracker gemeldet, aber aufgrund der sensiblen Natur von Sicherheitsproblemen bitten wir darum, sie nicht auf diese Weise öffentlich zu melden.

Wenn Sie stattdessen glauben, etwas in Weblate gefunden zu haben, das Auswirkungen auf die Sicherheit hat, senden Sie bitte eine Beschreibung des Problems an security@weblate.org, GitHub oder über HackerOne.

Ein Mitglied des Sicherheitsteams wird Ihnen innerhalb von 48 Stunden antworten, und je nachdem, welche Maßnahmen ergriffen werden, können Sie weitere E-Mails erhalten.

Bemerkung

Senden verschlüsselter Berichte

Wenn Sie eine verschlüsselte E-Mail senden möchten (optional), verwenden Sie bitte den öffentlichen Schlüssel für michal@weblate.org mit der ID 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D. Dieser öffentliche Schlüssel ist auf den meistverwendeten Schlüsselservern und bei Keybase verfügbar.

Hinweis

Weblate ist für viele Dinge von Komponenten Dritter abhängig. Falls Sie eine Schwachstelle finden, die eine dieser Komponenten betrifft, melden Sie diese bitte direkt an das entsprechende Projekt.

Einige davon sind:

• Django

• Django REST-Framework

• Python Social Auth

Richtlinie zur Offenlegung von Schwachstellen

Innerhalb von 30 Tagen nach einer Veröffentlichung, die das Beheben einer Schwachstelle enthält, wird ein Sicherheitshinweis unter https://github.com/WeblateOrg/weblate/security/advisories veröffentlicht. Wenn möglich, wird der Hinweis sofort mit einer neuen Version veröffentlicht.

Jede aktiv ausgenutzte Schwachstelle oder schwerwiegende Vorfälle werden dem CSIRT innerhalb von 24 Stunden gemeldet, allgemeine Informationen werden dem CSIRT innerhalb von 72 Stunden zur Verfügung gestellt, und ein vollständiger Bericht wird innerhalb von 14 Tagen bereitgestellt.

Alle Benutzer von Hosted oder Dedicated Weblate, die von einem schwerwiegenden Vorfall oder einer aktiv ausgenutzten Schwachstelle betroffen sind, werden innerhalb von 7 Tagen benachrichtigt.