Vulnerabilidad y tratamiento de incidente¶
Product vulnerability reports¶
Ver también
Lea Utilizar IA para crear incidencias en caso de que haya utilizado IA para descubrir una incidencia de seguridad en Weblate.
El equipo de desarrollo de Weblate está firmemente comprometido con la divulgación y los informes responsables de incidencias relacionadas con la seguridad. Hemos adoptado y seguimos normativas orientadas a entregar actualizaciones de seguridad a Weblate de manera oportuna.
Los informes de vulnerabilidades de productos abarcan problemas de seguridad en el código fuente de Weblate, los artefactos de lanzamiento y las propiedades de seguridad documentadas de Weblate. No sustituyen la respuesta operativa ante incidentes para una implementación específica.
La mayoría de los fallos normales en Weblate se informan a nuestro seguimiento de incidencias de GitHub público, pero debido a la naturaleza sensible de las incidencias de seguridad, solicitamos que no se informen públicamente de esta manera.
En cambio, si cree que ha encontrado algo en Weblate que tiene implicaciones de seguridad, envíe una descripción de la incidencia a <security@weblate.org>, GitHub, o utilice HackerOne.
Los operadores que utilizan sistemas autogestionados deben seguir este proceso cuando consideren que un incidente en su propia implementación se debe a una vulnerabilidad del producto Weblate. La contención local, la recuperación, la notificación al cliente, la escalada al proveedor y otras medidas de respuesta a incidentes específicas de la implementación siguen siendo responsabilidad del operador.
Un miembro del equipo de seguridad le responderá dentro de las 48 horas y, según la acción que se tome, es posible que reciba más correos electrónicos de seguimiento.
Nota
Envío de informes cifrados
Si desea enviar un correo electrónico cifrado (opcional), utilice la clave pública de security@weblate.org con ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.
Esta clave pública está disponible en los servidores de claves más comúnmente utilizados, mediante WKD o directamente desde weblate.org.
Consejo
Weblate depende de componentes de terceros para muchas cosas. En caso de que encuentre una vulnerabilidad que afecte a uno de esos componentes en general, infórmelo directamente al proyecto correspondiente .
Algunos de estos son:
Ver también
Weblate-operated service incidents¶
Los incidentes operativos que afecten a Hosted Weblate, Dedicated Weblate u otras implementaciones operadas por Weblate s.r.o. se gestionan utilizando Respuesta del plan de incidencia para Weblate.
Cuando dicho incidente también involucra una vulnerabilidad de un producto Weblate, el informe de vulnerabilidad y el aviso público siguen el proceso de informe de vulnerabilidades del producto y la directiva de divulgación de vulnerabilidades que se encuentra en la página Directiva de divulgación de vulnerabilidades.
Self-hosted deployment incidents¶
Los operadores de implementaciones de Weblate autogestionadas son responsables de su proceso local de respuesta a incidentes, que incluye la contención, la recuperación, la notificación y la escalada específica del proveedor. El documento Respuesta del plan de incidencia para Weblate gestionado por Weblate puede utilizarse como referencia, pero no constituye un plan de respuesta a incidentes actualizado para implementaciones de terceros.
Si un incidente en un servidor propio parece estar causado por una vulnerabilidad del producto Weblate, infórmelo utilizando el proceso de notificación de vulnerabilidades del producto descrito anteriormente.
Directiva de divulgación de vulnerabilidades¶
For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.
Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.
Todos los usuarios de Weblate alojado o dedicado afectados por un incidente grave o una vulnerabilidad explotada activamente reciben una notificación en un plazo de 7 días.