Kerentanan dan penanganan insiden

Melaporkan isu keamanan

Lihat juga

Silakan baca Menggunakan AI untuk membuat isu jika Anda telah menggunakan AI untuk menemukan isu keamanan di Weblate.

Tim pengembang Weblate sangat berkomit untuk melaporkan dan mengungkapkan isu keamanan secara bertanggung jawab. Kami telah mengadopsi dan mengikuti kebijakan yang bertujuan untuk memberikan pembaruan keamanan yang tepat waktu kepada Weblate.

Kebanyakan kerusakan normal di Weblate dilaporkan ke pelacak isu GitHub publik kami, tetapi karena sifat sensitif dari isu keamanan, kami meminta agar isu tersebut tidak dilaporkan ke publik dengan cara ini.

Sebaliknya, jika Anda yakin telah menemukan sesuatu di Weblate yang memiliki implikasi keamanan, silakan kirimkan deskripsi isu tersebut ke security@weblate.org, GitHub, atau gunakan HackerOne.

Seorang anggota tim keamanan akan menanggapi Anda dalam waktu 48 jam, dan tergantung pada tindakan yang diambil, Anda mungkin mendapatkan lebih banyak surel tindak lanjut.

Catatan

Mengirim laporan terenkripsi

Jika Anda ingin mengirim surel terenkripsi (opsional), silakan gunakan kunci publik untuk security@weblate.org dengan ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Kunci publik ini tersedia di server kunci yang paling umum digunakan, menggunakan WKD atau langsung dari weblate.org.

Petunjuk

Weblate bergantung pada komponen pihak ketiga untuk banyak hal. Jika Anda menemukan kerentanan yang memengaruhi salah satu komponen tersebut secara umum, harap laporkan langsung ke proyek terkait.

Beberapa di antaranya adalah:

• Django

• Kerangka kerja Django REST

• Auth Sosial Python

Lihat juga

• Melaporkan isu di Weblate

Kebijakan pengungkapan kerentanan

Dalam 30 hari setelah rilis yang berisi perbaikan kerentanan, sebuah imbauan keamanan akan dipublikasikan di https://github.com/WeblateOrg/weblate/security/advisories. Saran keamanan ini akan segera tersedia bersama rilis jika memungkinkan.

Setiap kerentanan yang dieksploitasi secara aktif atau insiden parah akan diberitahukan kepada CSIRT dalam waktu 24 jam, informasi umum diberikan kepada CSIRT dalam waktu 72 jam, dan laporan lengkap diberikan dalam waktu 14 hari.

Semua pengguna Hosted atau Dedicated Weblate yang terkena dampak insiden parah atau kerentanan yang dieksploitasi secara aktif akan diberitahukan dalam waktu 7 hari.