Múnla bagairt Weblate

Raon Feidhmchláir Ghréasáin: Príomhfheidhmchlár Gréasáin Weblate, a idirghníomhaíochtaí le brabhsálaithe úsáideoirí, comhpháirteanna cúil (freastalaí gréasáin, WSGI, bunachar sonraí, stór sonraí, Celery), agus comhtháthú le VCS seachtrach.

Toimhdí: Imscaradh caighdeánach Weblate le comhpháirteanna tipiciúla (nginx/Apache, granian/Gunicorn/uWSGI, PostgreSQL, datastore, Celery) agus róil úsáideora (úsáideoir neamhfhíordheimhnithe, úsáideoir fíordheimhnithe, athbhreithnitheoir, bainisteoir tionscadail, riarthóir, comhartha API atá faoi raon feidhme an tionscadail).

Tá críochphointí Webhook do roinnt comhtháthú VCS dírithe d'aon ghnó ar chomhoiriúnacht agus is féidir leo seachadtaí neamhúdaraithe a ghlacadh ó bhréagáin thacaithe. Dá bhrí sin, déanann Weblate nuashonruithe stórtha spreagtha ag webhook a chóireáil mar chomhéadan atá cruaite ag imscaradh seachas ceann atá fíordheimhnithe go cripteagrafach de réir réamhshocraithe.

Go dtí go mbeidh comhtháthúcháin fhíordheimhnithe dúchasacha ar fáil do na hardáin seo, braitheann friotaíocht in aghaidh mí-úsáide webhook ar rialuithe cúitimh amhail teorannú ráta seachfhreastalaí droim ar ais, teorainneacha ar mhéid iarratais, nochtadh poiblí a íoslaghdú, agus monatóireacht.

Cur síos agus raon feidhme an chórais

Is ardán logánaithe gréasánbhunaithe foinse oscailte é Weblate atá tógtha ar Django. Comhtháthaíonn sé go dlúth le stórtha Git chun aistriúcháin a bhainistiú agus cuireann sé gnéithe stíl CI/CD ar fáil le haghaidh uathoibrithe, crúcaí, agus sioncrónaithe VCS.

Níl údarú i Weblate teoranta do rochtain riarthóra ar fud an tsamhla seachas rochtain úsáideora rialta. Is féidir ceadanna a tharmligean de réir an tsuímh, an tionscadail, an chomhpháirte, na teanga, an ghluais, nó raon feidhme eile, lena n-áirítear ceadanna tiomnaithe bainistíochta rochtana tionscadail (VCS), cuimhne aistriúcháin, scáileáin, athbhreithnithe, agus tionscadail. Is féidir ballraíocht foirne agus ceadanna cosúil le húsáideoirí a dheonú do chomharthaí API atá faoi raon feidhme tionscadail.

Sócmhainní:

  • Rúndacht: Teaghráin aistriúcháin, eochracha/dintiúir API le haghaidh comhtháthú VCS, dintiúir úsáideora (pasfhocail, rúin 2FA), sonraí pearsanta úsáideora (ríomhphost, ainm), comharthaí seisiúin, logaí iniúchta, sonraí tionscadail príobháideacha.

  • Sláine: Ábhar teaghrán aistriúcháin, sláine stórtha VCS, cumraíochtaí tionscadail agus comhpháirteanna, ceadanna úsáideoirí, logaí iniúchta.

  • Infhaighteacht: Comhéadan gréasáin Weblate, comhtháthú VCS, rochtain ar bhunachar sonraí, próiseáil tascanna cúlra.

  • Barántúlacht/Neamh-shéanadh: Stair tiomantais aistriúcháin, leithdháileadh úsáideoirí le haghaidh aistriúcháin, logaí iniúchta ar ghníomhartha riaracháin.

Léaráid shreafa sonraí coincheapúil

digraph translations { graph [fontname = "sans-serif", fontsize=10]; node [fontname = "sans-serif", fontsize=10, margin=0.1, height=0, style=filled, fillcolor=white, shape=note]; edge [fontname = "sans-serif", fontsize=10, dir=both]; "External user (browser)" -> "Web server (nginx/Apache)" [label="HTTPS"]; "External webhook source" -> "Web server (nginx/Apache)" [label="HTTPS webhook"]; "Web server (nginx/Apache)" -> "Weblate application (WSGI, Celery)" [label="Internal API"]; "Weblate application (WSGI, Celery)" -> "Database (PostgreSQL)" [label="Database access"]; "Weblate application (WSGI, Celery)" -> "Datastore (Valkey/Redis)" [label="Key/value access"]; "Weblate application (WSGI, Celery)" -> "Internal VCS repository" [label="Filesystem access"]; "Weblate application (WSGI, Celery)" -> "External VCS repository" [label="Git/API"]; "Weblate application (WSGI, Celery)" -> "Logging (SIEM)" [label="GELF"]; }

Teorainneacha muiníne

  • Idirlíon ↔ Freastalaí gréasáin: Trácht idirlín poiblí ag idirghníomhú leis an gcéad líne chosanta.

  • Foinse Webhook ↔ Freastalaí gréasáin: Seirbhísí óstála cóid sheachtracha nó glaoiteoirí eile a ghlaonn ar crúcaí stórais, uaireanta le críochphointí neamhúdaraithe cumasaithe in aghaidh an tionscadail.

  • Freastalaí gréasáin ↔ Feidhmchlár Weblate: Cumarsáid idir an seachfhreastalaí droim ar ais/freastalaí gréasáin agus loighic an fheidhmchláir.

  • Feidhmchlár Weblate ↔ Bunachar Sonraí: Loighic feidhmchláir ag rochtain sonraí buana agus taisceáilte.

  • Feidhmchlár Weblate ↔ Logáil: Loighic feidhmchláir ag cruthú logaí.

  • Feidhmchlár Weblate ↔ Stór VCS inmheánach: Loighic an fheidhmchláir ag idirghníomhú lena chóip áitiúil den stór VCS.

  • Feidhmchlár Weblate ↔ Stór seachtrach VCS: Weblate ag teagmháil le hardáin óstála cóid sheachtracha.

  • Cumraíocht úsáideora pribhléideach ↔ Líonra amach: Is féidir le socruithe tionscadail agus comhtháthaithe a chur faoi deara go gcuirfidh Weblate tús le naisc le hóstach VCS seachtracha nó seirbhísí eile.

  • Cartlann chúltaca allmhairithe ↔ Feidhmchlár/córas comhad Weblate: Próiseálann athchóiriú cúltaca ábhar cartlainne, meiteashonraí agus staid VCS atá faoi rialú an ionsaitheora.

  • Glaoiteoir neamhfhíordheimhnithe ↔ Úsáideoir/comhartha fíordheimhnithe: Leibhéil phribhléide éagsúla le haghaidh rochtana brabhsálaí, API, agus crúca gréasáin.

  • Úsáideoir/comhartha fíordheimhnithe ↔ Bainisteoir tionscadail/athbhreithneoir/bainisteoir VCS: Cruthaíonn ceadanna tarmligthe atá raon feidhme tionscadail agus comhpháirteanna teorainneacha pribhléide breise laistigh den fheidhmchlár.

Aitheantas bagairtí

Comhpháirt/Idirghníomhaíocht

Catagóir bhagairt STRIDE

Cur síos ar an bhagairt

Tionchar féideartha

Freastalaí gréasáin (nginx/Apache)

DoS

Diúltú seirbhíse: Cuireann an t-ionsaitheoir iarratais ar an bhfreastalaí gréasáin, rud a fhágann nach bhfuil Weblate ar fáil.

Cailliúint infhaighteachta le haghaidh aistriúcháin.

Nochtadh faisnéise

Nochtadh cumraíochta: Nochtann freastalaí míchumraithe comhaid íogaire (e.g., comhaid chumraíochta, eochracha príobháideacha).

Nochtadh dintiúir, ailtireacht inmheánach.

Cur isteach

Instealladh iarratais mailíseacha: Cuireann an t-ionsaitheoir sonraí mailíseacha isteach i gceanntásca HTTP nó i gcorp iarratais.

Poitéinseal ann d’instealladh SQL, XSS, nó instealltaí eile mura láimhseálann an cúl-deireadh i gceart é.

Láimhseáil crúca gréasáin

Céilliú

Seachadadh webhook bréagach: Cuireann ionsaitheoir ualach webhook bréige isteach chun nuashonruithe stórais nó uathoibriú eile a spreagadh, go háirithe nuair a bhíonn crúcaí neamhfhíordheimhnithe cumasaithe.

Sioncrónú neamhúdaraithe le stórtha, forghníomhú tascanna glórach, nó mí-úsáid leantach conairí uathoibrithe.

Cur isteach

Ionramháil nó athsheinm ualaigh: Athsheinm nó modhnaíonn ionsaitheoir ualaigh webhook ionas go bpróiseálann Weblate stáit nó brainsí stórais atá difriúil ón imeacht dlisteanach.

Nuashonruithe gan choinne, mearbhall stórtha, nó mí-úsáid dintiúir VCS pribhléideacha.

DoS

Tuilte crúcaí: Seolann ionsaitheoir iarratais iomarcacha ar chrúcaí gréasáin nó ualaí rómhóra, rud a chuireann ró-ualach ar láimhseáil iarratais nó ar oibrithe cúlra.

Moilliú nó neamh-infhaighteacht Weblate.

Nochtadh faisnéise

Áireamh stórtha trí fhreagraí webhook: Déanann ionsaitheoir scrúdú ar ualaí webhook agus foghlaimíonn sé an bhfuil stórtha, brainsí nó comhpháirteanna ann bunaithe ar mheiteashonraí freagartha.

Nochtadh struchtúr tionscadail phríobháidigh, crúcaí cumasaithe, nó aitheantóirí comhpháirteanna.

Séanadh

Saintréith teoranta crúcaí gréasáin: Taifeadtar nuashonruithe spreagtha ag crúcaí mar rud a thagann ó róbat seirbhíse seachas ó phríomhoide fíordheimhnithe le bréag.

Muinín fhóiréinseach laghdaithe agus gníomhaíocht crúcaí mailíseach nó conspóideach á himscrúdú.

Feidhmchlár Weblate

Céilliú

Pearsantú úsáideora: Faigheann ionsaitheoir rochtain ar sheisiún úsáideora dlisteanaigh (e.g., trí fhuadach seisiúin, dintiúir a ndearnadh comhréiteach orthu).

Aistriúchán neamhúdaraithe, rochtain ar stór.

(WSGI/Soilire)

Cur isteach

Modhnú neamhúdaraithe ar aistriúchán: Ligeann leochaileacht úsáideora mailíseach nó leochaileacht a shaothraítear aistriúchán, cumraíochtaí tionscadail, nó socruithe comhtháthaithe VCS a athrú.

Aistriúcháin mhíchearta, tógáil briste, RCE trí crúcaí VCS.

Cur isteach

Ionramháil ar chomhtháthú VCS: Déanann an t-ionsaitheoir ionramháil ar idirghníomhaíocht Weblate leis an VCS (e.g., orduithe mailíseacha a instealladh trí URLanna stórais cheardaíochta mura ndéantar iad a shláintiú, rud a fhágann go mbíonn RCE ann).

Instealladh cóid i dtionscadail sprice, eis-scagadh sonraí.

Séanadh

Athruithe gan chur i leith: Déantar athruithe mailíseacha gan cur i leith an úsáideora nó an chórais atá freagrach i gceart.

Deacracht iniúchóireachta agus cuntasachta.

Nochtadh faisnéise

Sceitheadh sonraí íogaire: Nochtann instealladh SQL, críochphointí API neamhshábháilte, nó earráidí sonraí íogaire (e.g., aistriúcháin úsáideoirí eile, dintiúir VCS, faisnéis freastalaí).

Sárú príobháideachta, goid maoine intleachtúla.

Nochtadh faisnéise

Nochtadh dintiúir VCS: Faigheann ionsaitheoir rochtain ar dhintiúir VCS stóráilte Weblate (eochracha SSH, comharthaí).

Rochtain dhíreach ar stórtha cóid comhtháite.

DoS

Ídiú acmhainní: Bíonn moilliú nó tuairteáil córais mar thoradh ar thascanna cúlra iomarcacha nó ar cheisteanna neamhéifeachtúla bunachar sonraí arna spreagadh ag ionsaitheoir.

Neamh-infhaighteacht Weblate.

Ardú pribhléide

Méadú rólanna: Faigheann aistritheoir rialta pribhléidí riaracháin.

Comhréiteach iomlán córais.

Ardú pribhléide

Instealladh ordaithe: Forghníomhú cód treallach mar gheall ar bhailíochtú ionchuir míchuí in URLanna stórais nó breiseáin.

Comhréiteach córais, eis-síothlú sonraí.

Allmhairiú/athchóiriú cúltaca

DoS

Aimpliú cartlainne le linn athchóirithe: Tá go leor ball nó méid mór neamh-chomhbhrúite i gcúltaca ceardaíochta, diosca, cuimhne, am oibrithe, nó acmhainn inode á n-ídiú.

Diúltú seirbhíse ag am athchóirithe agus meath seirbhíse féideartha don chás.

Cur isteach

Meiteashonraí cúltaca mailíseacha nó staid VCS: Athbhunaíonn cúltaca ceardaíochta meiteashonraí tionscadail mhíthreoracha nó staid stórais neamhshábháilte in ainneoin bailíochtú cosáin agus seiceálacha scéime.

Tionscadail athchóirithe truaillithe, staid neamhshábháilte stórtha, nó mearbhall riaracháin.

Bunachar Sonraí/Stóras Sonraí

Cur isteach

Éilliú sonraí: Ceadaíonn rochtain dhíreach ar an mbunachar sonraí athrú a dhéanamh ar shreangáin aistriúcháin, ar shonraí úsáideora, nó ar chumraíocht.

Mífheidhmiú córais, cailliúint sláine sonraí.

Nochtadh faisnéise

Rochtain ar shonraí íogaire: Nochtann rochtain neamhúdaraithe ar bhunachar sonraí/stóras sonraí na sonraí stóráilte go léir (dintiúir, cuimhne aistriúcháin, próifílí úsáideoirí).

Sárú mór sonraí.

DoS

Ídiú bunachar sonraí: Líonann an t-ionsaitheoir an bunachar sonraí nó an stór sonraí le fiosrúcháin, nó ídíonn sé an chuimhne go léir nó na naisc atá ar fáil.

Neamh-infhaighteacht Weblate.

Comhtháthú VCS

Cur isteach

Cumhachtuithe mailíseacha ó Weblate: Cuireann Weblate atá i mbaol athruithe mailíseacha chuig an stórlann suas an sruth.

Tabhairt isteach malware/doirse cúil i dtionscadail sprice.

Séanadh

Attribution bréige: Déanann Weblate athruithe a chuirtear i leith úsáideoir mícheart a thiomnú (e.g., riarthóir ag cur iallach ar thiomnú in ainm aistritheora gan a dtoiliú).

Saincheisteanna cuntasachta.

Comhtháthúcháin amach / cumraíocht VCS

Nochtadh faisnéise

Brionnú iarratais taobh an fhreastalaí nó inrochtaineacht inmheánach neamhbheartaithe: Cumraíonn úsáideoir pribhléideach críochphointí stórais nó comhtháthaithe a fhágann go gceanglaíonn Weblate le hóstach inmheánach nó le hóstach srianta eile.

Nochtadh seirbhísí inmheánacha, críochphointí meiteashonraí, nó cosáin líonra srianta.

Idirghníomhaíocht úsáideora

Céilliú

Innealtóireacht shóisialta/fioscaireachta: Cuireann an t-ionsaitheoir cleas ar úsáideoirí chun dintiúir Weblate nó cuntais VCS nasctha a nochtadh.

Comhréiteach cuntais.

(Comhéadan Gréasáin)

Cur isteach

Scriptiú Tras-Láithreáin (XSS): Scripteanna mailíseacha a chuirtear isteach in aistriúcháin nó i bpróifílí úsáideoirí a fhorghníomhaítear i mbrabhsálaithe úsáideoirí eile.

Fuadach seisiúin, goid dintiúir, milleadh.

Nochtadh faisnéise

Clickjacking/Ceartú ar Chomhéadan Úsáideora: Cuireann an t-ionsaitheoir eilimintí mailíseacha chomhéadain úsáideora thar Weblate, ag mealladh úsáideoirí chun gníomhartha neamhbheartaithe a dhéanamh.

Gníomhartha neamhúdaraithe, ionramháil sonraí.

Nochtadh faisnéise

Sonraí íogaire san Chomhéadan Úsáideora: Nochtadh neamhbheartaithe sonraí íogaire (e.g., ríomhphost úsáideora eile) san Chomhéadan Úsáideora mar gheall ar lochtanna údaraithe.

Sárú príobháideachta.

Straitéisí maolaithe

  • Fíordheimhniú & údarú:

    • Polasaithe láidre maidir le pasfhocail, féach Slándáil pasfhocail.

    • 2FA forfheidhmithe, féach Fíordheimhniú dhá-fhachtóir.

    • Bainistíocht láidir seisiún.

    • Rialú rochtana bunaithe ar róil (RBAC) chun an pribhléid is lú a fhorfheidhmiú (mar shampla ceadanna aistriúcháin, athbhreithnithe, VCS, cuimhne aistriúcháin, scáileáin, agus bainistíochta rochtana tionscadail a dheighilt), féach Rialú rochtana.

    • Comhtháthú le soláthraithe aitheantais seachtracha (SAML, OAuth, LDAP), féach Fíordheimhniú.

  • Slándáil crúca gréasáin:

    • Teorainn reatha an táirge: ní chuirtear barántúlacht webhook i bhfeidhm go haonfhoirmeach san aip do gach comhtháthú forge a dtacaítear leis.

    • Déan críochphointí webhook a láimhseáil mar chomhéadain atá cruaite le haghaidh imscartha agus ná cumasaigh iad ach amháin nuair is gá, féach Crúcaí fógra agus Cumasaigh crúcaí.

    • I measc na rialuithe imscartha atá riachtanach inniu tá teorannú ráta seachfhreastalaí droim ar ais, teorainneacha ar mhéid iarratas, scagadh roghnach foinse-IP, nochtadh poiblí a íoslaghdú, agus foláireamh a thabhairt maidir le spící webhook.

    • Déan cineál imeachta agus ualach oibre an webhook a bhailíochtú sula ndéantar nuashonruithe nó tascanna stóir a ghníomhachtú.

    • Is é treo an táirge amach anseo ná crúcaí gréasáin comhoiriúnachta a athsholáthar le comhtháthúcháin fhíordheimhnithe dúchasacha a bhailíochtóidh barántúlacht foinse sula ndéantar nuashonruithe stórtha a sceidealú.

  • Bailíochtú ionchuir agus ionchódú aschuir:

    • Bailíochtú dian ar gach ionchur úsáideora (foirmeacha, iarratais API, URLanna VCS) chun ionsaithe insteallta (instealladh SQL, instealladh orduithe, XSS) a chosc.

    • Ionchódú aschuir atá feasach ar chomhthéacs do na sonraí uile a sholáthraíonn an t-úsáideoir a thaispeántar ar an gcomhéadan úsáideora gréasáin chun XSS a chosc.

  • Slándáil chomhtháthaithe VCS:

    • Prionsabal na pribhléide is lú do dhintiúir VCS (e.g., rochtain léite amháin nuair is féidir, raon feidhme teoranta do chomharthaí).

    • Stóráil shlán dintiúir VCS.

    • Glanadh agus bailíochtú dian ar na sonraí uile a thagann ó VCS (e.g., ainmneacha comhad, ainmneacha brainse, teachtaireachtaí tiomantais a d'fhéadfadh a bheith ar taispeáint).

    • Forghníomhú slán orduithe Git/Mercurial (ag seachaint forghníomhú sliogáin le hionchur atá faoi rialú an úsáideora).

    • Déan liosta ceadanna ainmneacha ósta agus srianta líonra príobháideacha a dhoiciméadú agus a athbhreithniú le haghaidh comhtháthú seachtrach i gcás ina gcaithfidh imscaradh srian a chur le naisc arna dtionscnamh ag an bhfreastalaí.

  • Slándáil allmhairithe cúltaca:

    • Déan cartlanna cúltaca a láimhseáil mar ionchur neamhiontaofa agus déan meiteashonraí agus cosáin eastósctha a bhailíochtú araon.

    • Cuir teorainneacha comhiomlána ar mhéid na cartlainne agus ar an mbuiséad eastósctha i bhfeidhm, ní hamháin seiceálacha in aghaidh an iontrála.

    • Déan monatóireacht ar theipeanna athchóirithe agus ar allmhairí móra neamhghnách mar tháscairí mí-úsáide féideartha.

  • Cosaint sonraí:

    • Criptiú sonraí íogaire atá ar fos.

    • Criptiú sonraí atá á n-aistriú (TLS/SSL do gach cumarsáid HTTP/S agus VCS).

    • Cruaú bunachar sonraí (an pribhléid is lú d'úsáideoir Weblate, pasfhocail láidre).

  • Cruadú an chórais:

    • Paistí rialta ar an gcóras oibriúcháin, Weblate, agus gach spleáchas.

    • Prionsabal na pribhléide is lú do chuntas úsáideora Weblate ar an gcóras oibriúcháin.

    • Deighilt líonra (e.g., bunachar sonraí agus stór sonraí a dheighilt ó rochtain phoiblí).

    • Úsáid WAF (Balla Dóiteáin Feidhmchláir Gréasáin).

  • Logáil agus monatóireacht:

    • Logáil iniúchta chuimsitheach ar gach imeacht a bhaineann le slándáil (logálacha isteach, logálacha isteach nár éirigh leo, athruithe ceadanna, athruithe cumraíochta criticiúla, oibríochtaí VCS).

    • Logáil agus foláirimh láraithe le haghaidh teagmhas slándála, mar shampla Bainistíocht loga Graylog.

  • Cleachtais forbartha slána:

    • Athbhreithnithe cóid le fócas ar shlándáil.

    • Tástáil Slándála Feidhmchláir Statach (SAST) agus Tástáil Slándála Feidhmchláir Dinimiciúil (DAST), féach Cód foinse gréasáin.

    • Scanadh leochaileachta spleáchais, féach Spleáchais.

    • Iniúchtaí slándála rialta agus tástáil treáite.

  • Láimhseáil earráide:

    • Teachtaireachtaí earráide cineálacha nach nochtann faisnéis inmheánach íogair.