Sebezhetőségek és incidensek kezelése

Biztonsági problémák jelentése

Lásd még

Ha mesterséges intelligencia segítségével talált biztonsági problémát a Weblate-ben, olvassa el a AI használata hibajegyek létrehozására részt.

A Weblate fejlesztőcsapata elkötelezett a felelős hibajelentés és nyilvánosságra hozatal mellett a biztonsági kérdésekben. Olyan irányelveket követünk, amelyek biztosítják, hogy időben szállítsunk biztonsági frissítéseket a Weblate-hez.

A Weblate szokványos hibáit a nyilvános GitHub hibakövetőn keresztül lehet jelenteni, azonban a biztonsági kérdések érzékeny természete miatt, ezeket ne ilyen formában hozza nyilvánosságra.

Ha úgy véli, hogy a Weblate-ben biztonsági problémát talált, küldje el a hiba részletes leírását az alábbi lehetőségek valamelyikén: e-mailben: security@weblate.org, a GitHub biztonsági tanácsadói felületén keresztül: GitHub vagy a HackerOne platformon.

A biztonsági csapat egyik tagja 48 órán belül válaszolni fog, és a fejlemények függvényében további e-mailek is érkezhetnek.

Megjegyzés

Titkosított jelentések küldése

If you want to send an encrypted email (optional), please use the public key for security@weblate.org with ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

This public key is available on the most commonly used key servers, using WKD or directly from weblate.org.

Tipp

A Weblate számos funkciójához harmadik féltől származó összetevőket használ. Ha ezek valamelyikében általános biztonsági sérülékenységet talál, jelentse közvetlenül az érintett projektnek.

Néhány ilyen összetevő például:

• Django

• Django REST keretrendszer

• Python Social Auth

Lásd még

• Hibák jelentése a Weblate-ben

Sebezhetőség közzétételi szabályzat

A sebezhetőséget javító kiadás megjelenését követő 30 napon belül biztonsági közleményt adunk ki a https://github.com/WeblateOrg/weblate/security/advisories címen. Amennyiben lehetséges, a közlemény a kiadással egy időben válik elérhetővé.

Bármely aktívan kihasznált sebezhetőségről vagy súlyos incidensről a CSIRT-et 24 órán belül értesítjük, az általános tájékoztatást 72 órán belül adjuk meg, míg a teljes jelentés legkésőbb 14 napon belül készül el.

A Hosted vagy Dedikált Weblate összes érintett felhasználóját 7 napon belül értesítjük az aktívan kihasznált sebezhetőségről vagy a súlyos incidensről.