Vulnerabilidad y tratamiento de incidente¶
Product vulnerability reports¶
Ver también
Lea Utilizar IA para crear incidencias en caso de que haya utilizado IA para descubrir una incidencia de seguridad en Weblate.
El equipo de desarrollo de Weblate está firmemente comprometido con la divulgación y los informes responsables de incidencias relacionadas con la seguridad. Hemos adoptado y seguimos normativas orientadas a entregar actualizaciones de seguridad a Weblate de manera oportuna.
Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.
La mayoría de los fallos normales en Weblate se informan a nuestro seguimiento de incidencias de GitHub público, pero debido a la naturaleza sensible de las incidencias de seguridad, solicitamos que no se informen públicamente de esta manera.
En cambio, si cree que ha encontrado algo en Weblate que tiene implicaciones de seguridad, envíe una descripción de la incidencia a <security@weblate.org>, GitHub, o utilice HackerOne.
Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.
Un miembro del equipo de seguridad le responderá dentro de las 48 horas y, según la acción que se tome, es posible que reciba más correos electrónicos de seguimiento.
Nota
Envío de informes cifrados
Si desea enviar un correo electrónico cifrado (opcional), utilice la clave pública de security@weblate.org con ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.
Esta clave pública está disponible en los servidores de claves más comúnmente utilizados, mediante WKD o directamente desde weblate.org.
Consejo
Weblate depende de componentes de terceros para muchas cosas. En caso de que encuentre una vulnerabilidad que afecte a uno de esos componentes en general, infórmelo directamente al proyecto correspondiente .
Algunos de estos son:
Ver también
Weblate-operated service incidents¶
Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Respuesta del plan de incidencia para Weblate.
When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Directiva de divulgación de vulnerabilidades on this page.
Self-hosted deployment incidents¶
Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Respuesta del plan de incidencia para Weblate can be used as a reference, but it is not a maintained incident response plan for third-party deployments.
If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.
Directiva de divulgación de vulnerabilidades¶
For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.
Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.
Todos los usuarios de Weblate alojado o dedicado afectados por un incidente grave o una vulnerabilidad explotada activamente reciben una notificación en un plazo de 7 días.