Kerentanan dan penanganan insiden

Product vulnerability reports

Lihat juga

Silakan baca Menggunakan AI untuk membuat isu jika Anda telah menggunakan AI untuk menemukan isu keamanan di Weblate.

Tim pengembang Weblate sangat berkomit untuk melaporkan dan mengungkapkan isu keamanan secara bertanggung jawab. Kami telah mengadopsi dan mengikuti kebijakan yang bertujuan untuk memberikan pembaruan keamanan yang tepat waktu kepada Weblate.

Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.

Kebanyakan kerusakan normal di Weblate dilaporkan ke pelacak isu GitHub publik kami, tetapi karena sifat sensitif dari isu keamanan, kami meminta agar isu tersebut tidak dilaporkan ke publik dengan cara ini.

Sebaliknya, jika Anda yakin telah menemukan sesuatu di Weblate yang memiliki implikasi keamanan, silakan kirimkan deskripsi isu tersebut ke security@weblate.org, GitHub, atau gunakan HackerOne.

Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator's responsibility.

Seorang anggota tim keamanan akan menanggapi Anda dalam waktu 48 jam, dan tergantung pada tindakan yang diambil, Anda mungkin mendapatkan lebih banyak surel tindak lanjut.

Catatan

Mengirim laporan terenkripsi

Jika Anda ingin mengirim surel terenkripsi (opsional), silakan gunakan kunci publik untuk security@weblate.org dengan ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Kunci publik ini tersedia di server kunci yang paling umum digunakan, menggunakan WKD atau langsung dari weblate.org.

Petunjuk

Weblate bergantung pada komponen pihak ketiga untuk banyak hal. Jika Anda menemukan kerentanan yang memengaruhi salah satu komponen tersebut secara umum, harap laporkan langsung ke proyek terkait.

Beberapa di antaranya adalah:

Weblate-operated service incidents

Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Rencana respons insiden untuk Weblate.

When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Kebijakan pengungkapan kerentanan on this page.

Self-hosted deployment incidents

Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Rencana respons insiden untuk Weblate can be used as a reference, but it is not a maintained incident response plan for third-party deployments.

If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.

Kebijakan pengungkapan kerentanan

For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

Semua pengguna Hosted atau Dedicated Weblate yang terkena dampak insiden parah atau kerentanan yang dieksploitasi secara aktif akan diberitahukan dalam waktu 7 hari.