Kwetsbaarheid en incidentafhandeling

Veiligheidsproblemen melden

Zie ook

Lees AI gebruiken om issues te maken in het geval u AI hebt gebruikt om een beveiligingsprobleem Weblate vast te stellen.

Het ontwikkelteam van Weblate is sterk verbonden met het verantwoordelijk rapporteren en onthullen van aan beveiliging gerelateerde problemen. We hebben beleid ontwikkeld, en volgen dat, dat is gericht op het tijdig leveren van beveiligingsupdates voor Weblate.

De meeste normale problemen in Weblate worden gerapporteerd in ons publieke GitHub volgsysteem voor problemen, maar door de gevoelige status van problemen met beveiliging, vragen we om die niet op deze manier openbaar te rapporteren.

In plaats daarvan, als u gelooft dat u iets in Weblate hebt gevonden dat implicaties voor de beveiliging heeft, dien dan een beschrijving van het probleem in bij security@weblate.org, GitHub, of gebruik HackerOne.

Een lid van het beveiligingsteam zal binnen 48 uur contact met u opnemen, en, afhankelijk van welke actie is ondernomen, zou u meer e-mails kunnen ontvangen voor de follow-up.

Notitie

Versleutelde rapporten verzenden

Als u een versleutelde e-mail wilt verzenden (optioneel), gebruik dan de publieke sleutel voor security@weblate.org met ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Deze publieke sleutel is beschikbaar op de meeste gebruikte sleutelservers, met WKD of direct vanuit weblate.org.

Hint

Weblate is voor veel dingen afhankelijk van onderdelen van derde partijen. In het geval dat u een kwetsbaarheid vindt die in het algemeen een van deze onderdelen beïnvloedt, rapporteer het direct naar het respectievelijke project.

Enkele hiervan zijn:

• Django

• Django REST framewerk

• Python Social Auth

Zie ook

• Problemen rapporteren in Weblate

Beleid voor openbaar maken kwetsbaarheden

Binnen 30 dagen na een uitgave die de reparatie van een kwetsbaarheid repareert, zal een beveiligingsadvies worden gepubliceerd op https://github.com/WeblateOrg/weblate/security/advisories. Het advies is, indien mogelijk, onmiddellijk beschikbaar met een uitgave.

Elke actief geëxploiteerde kwetsbaarheid of ernstige incidenten worden ter kennis gebracht van CSIRT binnen 24 uur, algemene informatie wordt aan CSIRT verschaft binnen 72 uur en een volledig rapport wordt binnen 14 dagen vershaft.

Alle gebruikers van Hosted of Dedicated Weblate die worden getroffen door een ernstig incident of een actief geëxploiteerde kwetsbaarheid worden binnen 7 dagen in kennis gesteld.