Múnla bagairt Weblate

Raon Feidhmchláir Ghréasáin: Feidhmchlár Gréasáin Lárnach Weblate, a idirghníomhaíochtaí le brabhsálaithe úsáideoirí, comhpháirteanna cúil (freastalaí gréasáin, WSGI, bunachar sonraí, stór sonraí, Celery), agus comhtháthú le VCS seachtrach. Toimhdí: Imscaradh caighdeánach Weblate le comhpháirteanna tipiciúla (nginx/Apache, Gunicorn/uWSGI, PostgreSQL, stór sonraí, Celery) agus róil úsáideoirí (Gan Fhíordheimhniú, Aistritheoir, Bainisteoir Tionscadail, Riarthóir).

Cur síos agus raon feidhme an chórais

Is ardán logánaithe gréasánbhunaithe foinse oscailte é Weblate atá tógtha ar Django. Comhtháthaíonn sé go dlúth le stórtha Git chun aistriúcháin a bhainistiú agus cuireann sé gnéithe stíl CI/CD ar fáil le haghaidh uathoibrithe, crúcaí, agus sioncrónaithe VCS.

Sócmhainní:

  • Rúndacht: Teaghráin aistriúcháin, eochracha/dintiúir API le haghaidh comhtháthú VCS, dintiúir úsáideora (pasfhocail, rúin 2FA), sonraí pearsanta úsáideora (ríomhphost, ainm), comharthaí seisiúin, logaí iniúchta, sonraí tionscadail príobháideacha.

  • Sláine: Ábhar teaghrán aistriúcháin, sláine stórtha VCS, cumraíochtaí tionscadail agus comhpháirteanna, ceadanna úsáideoirí, logaí iniúchta.

  • Infhaighteacht: Comhéadan gréasáin Weblate, comhtháthú VCS, rochtain ar bhunachar sonraí, próiseáil tascanna cúlra.

  • Barántúlacht/Neamh-shéanadh: Stair tiomantais aistriúcháin, leithdháileadh úsáideoirí le haghaidh aistriúcháin, logaí iniúchta ar ghníomhartha riaracháin.

Léaráid shreafa sonraí coincheapúil

digraph translations { graph [fontname = "sans-serif", fontsize=10]; node [fontname = "sans-serif", fontsize=10, margin=0.1, height=0, style=filled, fillcolor=white, shape=note]; edge [fontname = "sans-serif", fontsize=10, dir=both]; "External user (browser)" -> "Web server (nginx/Apache)" [label="HTTPS"]; "Web server (nginx/Apache)" -> "Weblate application (WSGI, Celery)" [label="Internal API"]; "Weblate application (WSGI, Celery)" -> "Database (PostgreSQL)" [label="Database access"]; "Weblate application (WSGI, Celery)" -> "Datastore (Valkey/Redis)" [label="Key/value access"]; "Weblate application (WSGI, Celery)" -> "Internal VCS repository" [label="Filesystem access"]; "Weblate application (WSGI, Celery)" -> "External VCS repository" [label="Git/API"]; "Weblate application (WSGI, Celery)" -> "Logging (SIEM)" [label="GELF"]; }

Teorainneacha muiníne

  • Idirlíon ↔ Freastalaí gréasáin: Trácht idirlín poiblí ag idirghníomhú leis an gcéad líne chosanta.

  • Freastalaí gréasáin ↔ Feidhmchlár Weblate: Cumarsáid idir an seachfhreastalaí droim ar ais/freastalaí gréasáin agus loighic an fheidhmchláir.

  • Feidhmchlár Weblate ↔ Bunachar Sonraí Loighic feidhmchláir ag rochtain sonraí buana agus taisceáilte.

  • Feidhmchlár Weblate ↔ Logáil: Loighic feidhmchláir ag cruthú logaí.

  • Feidhmchlár Weblate ↔ Stór VCS inmheánach: Loighic an fheidhmchláir ag idirghníomhú lena chóip áitiúil den stór VCS.

  • Feidhmchlár Weblate ↔ Stór seachtrach VCS: Weblate ag teagmháil le hardáin óstála cóid sheachtracha.

  • Úsáideoir Fíordheimhnithe ↔ Úsáideoir Neamhúdaraithe: Leibhéil phribhléide éagsúla laistigh den fheidhmchlár gréasáin.

Aitheantas bagairtí

Comhpháirt/Idirghníomhaíocht

Catagóir bhagairt STRIDE

Cur síos ar an bhagairt

Tionchar féideartha

Freastalaí gréasáin (nginx/Apache)

DoS

Diúltú seirbhíse: Cuireann an t-ionsaitheoir iarratais ar an bhfreastalaí gréasáin, rud a fhágann nach bhfuil Weblate ar fáil.

Cailliúint infhaighteachta le haghaidh aistriúcháin.

Nochtadh faisnéise

Nochtadh cumraíochta: Nochtann freastalaí míchumraithe comhaid íogaire (e.g., comhaid chumraíochta, eochracha príobháideacha).

Nochtadh dintiúir, ailtireacht inmheánach.

Cur isteach

Instealladh iarratais mailíseacha: Cuireann an t-ionsaitheoir sonraí mailíseacha isteach i gceanntásca HTTP nó i gcorp iarratais.

Poitéinseal ann d’instealladh SQL, XSS, nó instealltaí eile mura láimhseálann an cúl-deireadh i gceart é.

Feidhmchlár Weblate

Céilliú

Pearsantú úsáideora: Faigheann ionsaitheoir rochtain ar sheisiún úsáideora dlisteanaigh (e.g., trí fhuadach seisiúin, dintiúir a ndearnadh comhréiteach orthu).

Aistriúchán neamhúdaraithe, rochtain ar stór.

(WSGI/Soilire)

Cur isteach

Modhnú neamhúdaraithe ar aistriúchán: Ligeann leochaileacht úsáideora mailíseach nó leochaileacht a shaothraítear aistriúchán, cumraíochtaí tionscadail, nó socruithe comhtháthaithe VCS a athrú.

Aistriúcháin mhíchearta, tógáil briste, RCE trí crúcaí VCS.

Cur isteach

Ionramháil ar chomhtháthú VCS: Déanann an t-ionsaitheoir ionramháil ar idirghníomhaíocht Weblate leis an VCS (e.g., orduithe mailíseacha a instealladh trí URLanna stórais cheardaíochta mura ndéantar iad a shláintiú, rud a fhágann go mbíonn RCE ann).

Instealladh cóid i dtionscadail sprice, eis-scagadh sonraí.

Séanadh

Athruithe gan chur i leith: Déantar athruithe mailíseacha gan cur i leith an úsáideora nó an chórais atá freagrach i gceart.

Deacracht iniúchóireachta agus cuntasachta.

Nochtadh faisnéise

Sceitheadh sonraí íogaire: Nochtann instealladh SQL, críochphointí API neamhshábháilte, nó earráidí sonraí íogaire (e.g., aistriúcháin úsáideoirí eile, dintiúir VCS, faisnéis freastalaí).

Sárú príobháideachta, goid maoine intleachtúla.

Nochtadh faisnéise

Nochtadh dintiúir VCS: Faigheann ionsaitheoir rochtain ar dhintiúir VCS stóráilte Weblate (eochracha SSH, comharthaí).

Rochtain dhíreach ar stórtha cóid comhtháite.

DoS

Ídiú acmhainní: Bíonn moilliú nó tuairteáil córais mar thoradh ar thascanna cúlra iomarcacha nó ar cheisteanna neamhéifeachtúla bunachar sonraí arna spreagadh ag ionsaitheoir.

Neamh-infhaighteacht Weblate.

Ardú pribhléide

Méadú rólanna: Faigheann aistritheoir rialta pribhléidí riaracháin.

Comhréiteach iomlán córais.

Ardú pribhléide

Instealladh ordaithe: Forghníomhú cód treallach mar gheall ar bhailíochtú ionchuir míchuí in URLanna stórais nó breiseáin.

Comhréiteach córais, eis-síothlú sonraí.

Bunachar Sonraí/Stóras Sonraí

Cur isteach

Éilliú sonraí: Ceadaíonn rochtain dhíreach ar an mbunachar sonraí athrú a dhéanamh ar shreangáin aistriúcháin, ar shonraí úsáideora, nó ar chumraíocht.

Mífheidhmiú córais, cailliúint sláine sonraí.

Nochtadh faisnéise

Rochtain ar shonraí íogaire: Nochtann rochtain neamhúdaraithe ar bhunachar sonraí/stóras sonraí na sonraí stóráilte go léir (dintiúir, cuimhne aistriúcháin, próifílí úsáideoirí).

Sárú mór sonraí.

DoS

Ídiú bunachar sonraí: Líonann an t-ionsaitheoir an bunachar sonraí nó an stór sonraí le fiosrúcháin, nó ídíonn sé an chuimhne go léir nó na naisc atá ar fáil.

Neamh-infhaighteacht Weblate.

Comhtháthú VCS

Cur isteach

Cumhachtuithe mailíseacha ó Weblate: Cuireann Weblate atá i mbaol athruithe mailíseacha chuig an stórlann suas an sruth.

Tabhairt isteach malware/doirse cúil i dtionscadail sprice.

Séanadh

Attribution bréige: Déanann Weblate athruithe a chuirtear i leith úsáideoir mícheart a thiomnú (e.g., riarthóir ag cur iallach ar thiomnú in ainm aistritheora gan a dtoiliú).

Saincheisteanna cuntasachta.

Idirghníomhaíocht úsáideora

Céilliú

Innealtóireacht shóisialta/fioscaireachta: Cuireann an t-ionsaitheoir cleas ar úsáideoirí chun dintiúir Weblate nó cuntais VCS nasctha a nochtadh.

Comhréiteach cuntais.

(Comhéadan Gréasáin)

Cur isteach

Scriptiú Tras-Láithreáin (XSS): Scripteanna mailíseacha a chuirtear isteach in aistriúcháin nó i bpróifílí úsáideoirí a fhorghníomhaítear i mbrabhsálaithe úsáideoirí eile.

Fuadach seisiúin, goid dintiúir, milleadh.

Nochtadh faisnéise

Clickjacking/Ceartú ar Chomhéadan Úsáideora: Cuireann an t-ionsaitheoir eilimintí mailíseacha chomhéadain úsáideora thar Weblate, ag mealladh úsáideoirí chun gníomhartha neamhbheartaithe a dhéanamh.

Gníomhartha neamhúdaraithe, ionramháil sonraí.

Nochtadh faisnéise

Sonraí íogaire san Chomhéadan Úsáideora: Nochtadh neamhbheartaithe sonraí íogaire (e.g., ríomhphost úsáideora eile) san Chomhéadan Úsáideora mar gheall ar lochtanna údaraithe.

Sárú príobháideachta.

Straitéisí maolaithe

  • Fíordheimhniú & údarú:

    • Polasaithe láidre maidir le pasfhocail, féach Slándáil pasfhocail.

    • 2FA forfheidhmithe, féach Fíordheimhniú dhá-fhachtóir.

    • Bainistíocht láidir seisiún.

    • Rialú rochtana bunaithe ar róil (RBAC) chun an pribhléid is lú a fhorfheidhmiú (e.g., ní féidir le haistritheoirí ach aistriúcháin a chur in eagar, ní féidir leo cumraíochtaí tionscadail a athrú), féach Rialú rochtana.

    • Comhtháthú le soláthraithe aitheantais seachtracha (SAML, OAuth, LDAP), féach Fíordheimhniú.

  • Bailíochtú ionchuir agus ionchódú aschuir:

    • Bailíochtú dian ar gach ionchur úsáideora (foirmeacha, iarratais API, URLanna VCS) chun ionsaithe insteallta (instealladh SQL, instealladh orduithe, XSS) a chosc.

    • Ionchódú aschuir atá feasach ar chomhthéacs do na sonraí uile a sholáthraíonn an t-úsáideoir a thaispeántar ar an gcomhéadan úsáideora gréasáin chun XSS a chosc.

  • Slándáil chomhtháthaithe VCS:

    • Prionsabal na pribhléide is lú do dhintiúir VCS (e.g., rochtain léite amháin nuair is féidir, raon feidhme teoranta do chomharthaí).

    • Stóráil shlán dintiúir VCS.

    • Glanadh agus bailíochtú dian ar na sonraí uile a thagann ó VCS (e.g., ainmneacha comhad, ainmneacha brainse, teachtaireachtaí tiomantais a d'fhéadfadh a bheith ar taispeáint).

    • Forghníomhú slán orduithe Git/Mercurial (ag seachaint forghníomhú sliogáin le hionchur atá faoi rialú an úsáideora).

  • Cosaint sonraí:

    • Criptiú sonraí íogaire atá ar fos.

    • Criptiú sonraí atá á n-aistriú (TLS/SSL do gach cumarsáid HTTP/S agus VCS).

    • Cruaú bunachar sonraí (an pribhléid is lú d'úsáideoir Weblate, pasfhocail láidre).

  • Cruadú an chórais:

    • Paistí rialta ar an gcóras oibriúcháin, Weblate, agus gach spleáchas.

    • Prionsabal na pribhléide is lú do chuntas úsáideora Weblate ar an gcóras oibriúcháin.

    • Deighilt líonra (e.g., bunachar sonraí agus stór sonraí a dheighilt ó rochtain phoiblí).

    • Úsáid WAF (Balla Dóiteáin Feidhmchláir Gréasáin).

  • Logáil agus monatóireacht:

    • Logáil iniúchta chuimsitheach ar gach imeacht a bhaineann le slándáil (logálacha isteach, logálacha isteach nár éirigh leo, athruithe ceadanna, athruithe cumraíochta criticiúla, oibríochtaí VCS).

    • Logáil agus foláirimh láraithe le haghaidh teagmhas slándála, mar shampla Bainistíocht loga Graylog.

  • Cleachtais forbartha slána:

    • Athbhreithnithe cóid le fócas ar shlándáil.

    • Tástáil Slándála Feidhmchláir Statach (SAST) agus Tástáil Slándála Feidhmchláir Dinimiciúil (DAST), féach Cód foinse gréasáin.

    • Scanadh leochaileachta spleáchais, féach Spleáchais.

    • Iniúchtaí slándála rialta agus tástáil treáite.

  • Láimhseáil earráide:

    • Teachtaireachtaí earráide cineálacha nach nochtann faisnéis inmheánach íogair.