Kwetsbaarheid en incidentafhandeling

Rapporten van kwestbaarheden product

Zie ook

Lees AI gebruiken om issues te maken in het geval u AI hebt gebruikt om een beveiligingsprobleem Weblate vast te stellen.

Het ontwikkelteam van Weblate is sterk verbonden met het verantwoordelijk rapporteren en onthullen van aan beveiliging gerelateerde problemen. We hebben beleid ontwikkeld, en volgen dat, dat is gericht op het tijdig leveren van beveiligingsupdates voor Weblate.

Rapporten over kwetsbaarheden in het product betreffen beveiligingsproblemen in de broncode van Weblate, artefacten van uitgaven en gedocumenteerde eigenschappen van de beveiliging van Weblate. Ze vervangen niet de beantwoording van operationele incidenten voor een bepaalde uitrol.

De meeste normale problemen in Weblate worden gerapporteerd in ons publieke GitHub volgsysteem voor problemen, maar door de gevoelige status van problemen met beveiliging, vragen we om die niet op deze manier openbaar te rapporteren.

In plaats daarvan, als u gelooft dat u iets in Weblate hebt gevonden dat implicaties voor de beveiliging heeft, dien dan een beschrijving van het probleem in bij security@weblate.org, GitHub, of gebruik HackerOne.

Zelfgehoste operators zouden dit proces moeten gebruiken als ze geloven dat een incident in hun eigen uitrol wordt veroorzaakt door een kwetsbaarheid in het product Weblate. Lokale isolatie, herstellen, notificeren van gebruikers, escalatie naar provider en andere beantwoording van uitrolspecifieke incidenten blijven de verantwoordelijkheid van de operator.

Een lid van het beveiligingsteam zal binnen 48 uur contact met u opnemen, en, afhankelijk van welke actie is ondernomen, zou u meer e-mails kunnen ontvangen voor de follow-up.

Notitie

Versleutelde rapporten verzenden

Als u een versleutelde e-mail wilt verzenden (optioneel), gebruik dan de publieke sleutel voor security@weblate.org met ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Deze publieke sleutel is beschikbaar op de meeste gebruikte sleutelservers, met WKD of direct vanuit weblate.org.

Hint

Weblate is voor veel dingen afhankelijk van onderdelen van derde partijen. In het geval dat u een kwetsbaarheid vindt die in het algemeen een van deze onderdelen beïnvloedt, rapporteer het direct naar het respectievelijke project.

Enkele hiervan zijn:

• Django

• Django REST framewerk

• Python Social Auth

Zie ook

• Problemen rapporteren in Weblate

Incidenten met door Weblate uitgevoerde services

Operationele incidenten die Hosted Weblate, Dedicated Weblate of andere door Weblate s.r.o. uitgevoerde uitrollen beïnvloeden, worden afgehandeld met Incident herstelplan (Incident response plan (IRP)) voor Weblate.

Wanneer een dergelijk incident ook de kwetsbaarheid van een product Weblate betreft, volgen het rapport van de kwetsbaarheid en publieke adviezen het proces voor het rapporteren van een kwetsbaarheid in het product en Beleid voor openbaar maken kwetsbaarheden op deze pagina.

Incidenten met zelfgehoste uitrollen

Operators van zelfgehoste uitrollen van Weblate zijn verantwoordelijk voor hun lokale proces voor beantwoording van incidenten, inclusief isolatie, herstellen, notificatie en provider-specifieke escalatie. Het door Weblate gebruikte Incident herstelplan (Incident response plan (IRP)) voor Weblate mag worden gebruikt als verwijzing, maar is niet een onderhouden plan voor beantwoording van incidenten voor uitrollen van derde partijen.

Als een zelfgehost incident lijkt te zijn veroorzaakt door een kwetsbaarheid in het product Weblate, rapporteer dat dan met het proces voor het rapporteren van een kwetsbaarheid in het product hierboven.

Beleid voor openbaar maken kwetsbaarheden

Voor kwetsbaarheden in het product Weblate zal, binnen 30 dagen na een uitgave die de reparatie van een kwetsbaarheid repareert, een beveiligingsadvies worden gepubliceerd op https://github.com/WeblateOrg/weblate/security/advisories. Het advies is, indien mogelijk, onmiddellijk beschikbaar met een uitgave.

Elke actief geëxploiteerde kwetsbaarheid in Weblate of enig ernstig incident dat door Weblate uitgevoerde services beïnvloedt, wordt ter kennis gebracht van CSIRT binnen 24 uur, algemene informatie wordt binnen 72 uur aan CSIRT verschaft en een volledig rapport wordt binnen 14 dagen verschaft.

Alle gebruikers van Hosted of Dedicated Weblate die worden getroffen door een ernstig incident of een actief geëxploiteerde kwetsbaarheid worden binnen 7 dagen in kennis gesteld.