Sebezhetőségek és incidensek kezelése

Product vulnerability reports

Lásd még

Ha mesterséges intelligencia segítségével talált biztonsági problémát a Weblate-ben, olvassa el a AI használata hibajegyek létrehozására részt.

A Weblate fejlesztőcsapata elkötelezett a felelős hibajelentés és nyilvánosságra hozatal mellett a biztonsági kérdésekben. Olyan irányelveket követünk, amelyek biztosítják, hogy időben szállítsunk biztonsági frissítéseket a Weblate-hez.

Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.

A Weblate szokványos hibáit a nyilvános GitHub hibakövetőn keresztül lehet jelenteni, azonban a biztonsági kérdések érzékeny természete miatt, ezeket ne ilyen formában hozza nyilvánosságra.

Ha úgy véli, hogy a Weblate-ben biztonsági problémát talált, küldje el a hiba részletes leírását az alábbi lehetőségek valamelyikén: e-mailben: security@weblate.org, a GitHub biztonsági tanácsadói felületén keresztül: GitHub vagy a HackerOne platformon.

Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.

A biztonsági csapat egyik tagja 48 órán belül válaszolni fog, és a fejlemények függvényében további e-mailek is érkezhetnek.

Megjegyzés

Titkosított jelentések küldése

If you want to send an encrypted email (optional), please use the public key for security@weblate.org with ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

This public key is available on the most commonly used key servers, using WKD or directly from weblate.org.

Tipp

A Weblate számos funkciójához harmadik féltől származó összetevőket használ. Ha ezek valamelyikében általános biztonsági sérülékenységet talál, jelentse közvetlenül az érintett projektnek.

Néhány ilyen összetevő például:

• Django

• Django REST keretrendszer

• Python Social Auth

Lásd még

• Hibák jelentése a Weblate-ben

Weblate-operated service incidents

Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Weblate incidenskezelési terve.

When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Sebezhetőség közzétételi szabályzat on this page.

Self-hosted deployment incidents

Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Weblate incidenskezelési terve can be used as a reference, but it is not a maintained incident response plan for third-party deployments.

If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.

Sebezhetőség közzétételi szabályzat

For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

A Hosted vagy Dedikált Weblate összes érintett felhasználóját 7 napon belül értesítjük az aktívan kihasznált sebezhetőségről vagy a súlyos incidensről.