Sebezhetőségek és incidensek kezelése

Biztonsági problémák jelentése

Lásd még

Ha mesterséges intelligencia segítségével talált biztonsági problémát a Weblate-ben, olvassa el a Using AI to create issues részt.

A Weblate fejlesztőcsapata elkötelezett a felelős hibajelentés és nyilvánosságra hozatal mellett a biztonsági kérdésekben. Olyan irányelveket követünk, amelyek biztosítják, hogy időben szállítsunk biztonsági frissítéseket a Weblate-hez.

A Weblate szokványos hibáit a nyilvános GitHub hibakövetőn keresztül lehet jelenteni, azonban a biztonsági kérdések érzékeny természete miatt, ezeket ne ilyen formában hozza nyilvánosságra.

Ha úgy véli, hogy a Weblate-ben biztonsági problémát talált, küldje el a hiba részletes leírását az alábbi lehetőségek valamelyikén: e-mailben: security@weblate.org, a GitHub biztonsági tanácsadói felületén keresztül: GitHub vagy a HackerOne platformon.

A biztonsági csapat egyik tagja 48 órán belül válaszolni fog, és a fejlemények függvényében további e-mailek is érkezhetnek.

Megjegyzés

Titkosított jelentések küldése

Ha titkosított e-mailt szeretne küldeni (opcionális), használja a michal@weblate.org címhez tartozó nyilvános kulcsot, amelynek azonosítója: 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D. Ez a nyilvános kulcs megtalálható a leggyakrabban használt kulcsszervereken, valamint a Keybase oldalon is elérhető.

Tipp

A Weblate számos funkciójához harmadik féltől származó összetevőket használ. Ha ezek valamelyikében általános biztonsági sérülékenységet talál, jelentse közvetlenül az érintett projektnek.

Néhány ilyen összetevő például:

• Django

• Django REST keretrendszer

• Python Social Auth

Sebezhetőség közzétételi szabályzat

A sebezhetőséget javító kiadás megjelenését követő 30 napon belül biztonsági közleményt adunk ki a https://github.com/WeblateOrg/weblate/security/advisories címen. Amennyiben lehetséges, a közlemény a kiadással egy időben válik elérhetővé.

Bármely aktívan kihasznált sebezhetőségről vagy súlyos incidensről a CSIRT-et 24 órán belül értesítjük, az általános tájékoztatást 72 órán belül adjuk meg, míg a teljes jelentés legkésőbb 14 napon belül készül el.

A Hosted vagy Dedikált Weblate összes érintett felhasználóját 7 napon belül értesítjük az aktívan kihasznált sebezhetőségről vagy a súlyos incidensről.