脆弱性およびインシデント対応

Product vulnerability reports

参考

AI を使用して Weblate のセキュリティ問題を発見した場合は、AI を使用して問題報告を作成する場合 を参照してください。

Weblate の開発チームは、セキュリティ関連の問題を責任を持って報告し、開示することに全力で取り組んでいます。私たちは、Weblate にタイムリーなセキュリティ更新を提供することを目的としたポリシーを採用し、それに従っています。

Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.

Weblate の通常のバグの多くは、公開されている GitHub 課題管理ツール で報告されていますが、セキュリティ問題は機密性が高いため、この方法で公開報告しないようにお願いします。

代わりに、Weblate でセキュリティに関する問題を発見した場合、security@weblate.orgGitHub、または HackerOne を使用して、問題の説明を送信してください。

Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator's responsibility.

セキュリティ チームのメンバーが 48 時間以内に返信し、その対応に基づいて、さらなるフォローアップ メールが届くこともあります。

注釈

暗号化したレポートの送信

暗号化したメールを送信したい場合(任意)、ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93security@weblate.org 用公開鍵を使用してください。

この公開鍵は、一般的に使用されている主要なキーサーバー上で入手でき、WKD でも、あるいは weblate.org から直接 でも取得できます。

ヒント

Weblate は、多くの点でサード パーティのコンポーネントに依存しています。このコンポーネントで一般的に影響する脆弱性を発見した場合は、それぞれのプロジェクトに直接報告してください。

依存するプログラム例:

Weblate-operated service incidents

Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Weblate のインシデント対応計画.

When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and 脆弱性開示ポリシー on this page.

Self-hosted deployment incidents

Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Weblate のインシデント対応計画 can be used as a reference, but it is not a maintained incident response plan for third-party deployments.

If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.

脆弱性開示ポリシー

For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

重大なインシデントや積極的に悪用されている脆弱性の影響を受けた Hosted Weblate または Dedicated Weblate のすべてのユーザーには、7 日以内に通知されます。