Vulnerabilidad y tratamiento de incidente

Informar incidencia de seguridad

Ver también

Lea Utilizar IA para crear incidencias en caso de que haya utilizado IA para descubrir una incidencia de seguridad en Weblate.

El equipo de desarrollo de Weblate está firmemente comprometido con la divulgación y los informes responsables de incidencias relacionadas con la seguridad. Hemos adoptado y seguimos normativas orientadas a entregar actualizaciones de seguridad a Weblate de manera oportuna.

La mayoría de los fallos normales en Weblate se informan a nuestro seguimiento de incidencias de GitHub público, pero debido a la naturaleza sensible de las incidencias de seguridad, solicitamos que no se informen públicamente de esta manera.

En cambio, si cree que ha encontrado algo en Weblate que tiene implicaciones de seguridad, envíe una descripción de la incidencia a <security@weblate.org>, GitHub, o utilice HackerOne.

Un miembro del equipo de seguridad le responderá dentro de las 48 horas y, según la acción que se tome, es posible que reciba más correos electrónicos de seguimiento.

Nota

Envío de informes cifrados

Si desea enviar un correo electrónico cifrado (opcional), utilice la clave pública de security@weblate.org con ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Esta clave pública está disponible en los servidores de claves más comúnmente utilizados, mediante WKD o directamente desde weblate.org.

Consejo

Weblate depende de componentes de terceros para muchas cosas. En caso de que encuentre una vulnerabilidad que afecte a uno de esos componentes en general, infórmelo directamente al proyecto correspondiente .

Algunos de estos son:

• Django

• Django REST framework

• Python Social Auth

Ver también

• Informar incidencias en Weblate

Directiva de divulgación de vulnerabilidades

Dentro de los 30 días posteriores a la publicación de una versión que corrige una vulnerabilidad, se publica un aviso de seguridad en https://github.com/WeblateOrg/weblate/security/advisories. El aviso está disponible inmediatamente con la publicación, cuando es posible.

Cualquier vulnerabilidad explotada activamente o incidente grave se notifica al CSIRT dentro de las 24 horas, se proporciona información general al CSIRT dentro de las 72 horas y se proporciona un informe completo dentro de los 14 días.

Todos los usuarios de Weblate alojado o dedicado afectados por un incidente grave o una vulnerabilidad explotada activamente reciben una notificación en un plazo de 7 días.