脆弱性およびインシデント対応

セキュリティ問題の報告

参考

AI を使用して Weblate のセキュリティ問題を発見した場合は、AI を使用して問題報告を作成する場合 を参照してください。

Weblate の開発チームは、セキュリティ関連の問題を責任を持って報告し、開示することに全力で取り組んでいます。私たちは、Weblate にタイムリーなセキュリティ更新を提供することを目的としたポリシーを採用し、それに従っています。

Weblate の通常のバグの多くは、公開されている GitHub 課題管理ツール で報告されていますが、セキュリティ問題は機密性が高いため、この方法で公開報告しないようにお願いします。

代わりに、Weblate でセキュリティに関する問題を発見した場合、security@weblate.org、GitHub、または HackerOne を使用して、問題の説明を送信してください。

セキュリティ チームのメンバーが 48 時間以内に返信し、その対応に基づいて、さらなるフォローアップ メールが届くこともあります。

注釈

暗号化したレポートの送信

暗号化したメールを送信したい場合（任意）、ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93 の security@weblate.org 用公開鍵を使用してください。

この公開鍵は、一般的に使用されている主要なキーサーバー上で入手でき、WKD でも、あるいは weblate.org から直接 でも取得できます。

ヒント

Weblate は、多くの点でサード パーティのコンポーネントに依存しています。このコンポーネントで一般的に影響する脆弱性を発見した場合は、それぞれのプロジェクトに直接報告してください。

依存するプログラム例:

• Django

• Django REST フレームワーク

• Python SNS 認証

参考

• Weblate の問題の報告

脆弱性開示ポリシー

脆弱性修正を含むリリースの後、30 日以内に https://github.com/WeblateOrg/weblate/security/advisories にセキュリティ アドバイザリが公開されます。可能な場合、アドバイザリはリリースと同時に即時公開されます。

積極的に悪用されている脆弱性や重大なインシデントについては、24 時間以内に CSIRT へ通知され、一般的な情報は 72 時間以内に CSIRT に提供され、完全な報告書は 14 日以内に提出されます。

重大なインシデントや積極的に悪用されている脆弱性の影響を受けた Hosted Weblate または Dedicated Weblate のすべてのユーザーには、7 日以内に通知されます。