Vertalen bedreigingen model¶

Uitbesteden of crowdsourcing van taken met vertalingen aan derde partijen introduceert aanvullende risico’s voor beveiliging en privacy. Anders dan met interne ontwikkelteams zouden vertalers beperkte vertrouwensrelaties met de organisatie kunnen hebben en zouden vanuit verschillende jurisdicties kunnen werken. Dit model identificeert en classificeert bedreigingen die zijn geassocieerd met bijdragen van externe vertalers.

Belangrijkste aannames¶

Vertalers kunnen zelfstandigen, vrijwilligers of bedrijven zijn met verschillende niveaus voor screening.
Vertalers hebben toegang tot Weblate nodig.
Tekenreeksen van vertalingen zouden gevoelige inhoud kunnen bevatten, zoals nog niet uitgegeven mogelijkheden, wettelijke bepalingen of beveiligingsberichten.
De organisatie heeft beperkt beheer over de lokale omgevingen van de vertalers.

Categorieën bedreigingen (STRIDE)¶

1. Spoofen¶

S1. Namaak vertaleraccounts doen zich voor als rechtmatige bijdragers.
- Risico: Niet geautoriseerde toegang tot projecten of injectie van kwaadaardige tekenreeksen.
- Beperkingen:
  - Sterke authenticatie afdwingen (2FA); (bekijk Twee-factor authenticatie afgedwongen).
  - Verifieer de identiteit van gecontracteerde vertalers.
  - Gebruik op rollen gebaseerde toegang om het bereik van het project te beperken; bekijk Project toegangsbeheer.

2. Beschadigen¶

T1. Kwaadaardige vertalingen bedden schadelijke lading in.
- Risico: Injectie van JavaScript, HTML, of aanvallen op de indelingen van tekenreeksen als de vertalingen niet juist zijn geëscapet.
- Beperkingen:
  - Pas strikte invoervalidatie toe in Weblate. Afdwingen van kwaliteitscontroles, zoals Onveilige html, zou kunnen helpen. Bekijk Kwaliteitscontroles en Afgedwongen controles.
  - Gebruik geautomatiseerd scannen van beveiliging voor vertaalbestanden in uw CI.
  - Beperk het gebruiken van gevaarlijke opmaak in vertaalbestanden. Afhankelijk van het gebruikte framewerk voor lokalisatie zou dit impliciet kunnen zijn, opt-in, of een bibliotheek van een derde partij kunnen vereisen.
T2. Invoegen van misleidende vertalingen.
- Risico: Gebruikers misleiden over gedrag van de toepassing (bijv. verkeerd vertalen dialoogvensters voor toestemming).
- Beperkingen:
  - Voer peer review uit voor kritische tekenreeksen; bekijk Nakijken collega of Aangewezen beoordelaars.
  - Onderhoud stijlgidsen en Woordenlijst om manipulatie te voorkomen.

3. Afwijzen¶

R1. Meningsverschillen over kwaadaardige of vertalingen van slechte kwaliteit.
- Risico: Vertalers ontkennen verantwoordelijkheid voor geïnjecteerde problemen.
- Beperkingen:
  - Alle wijzigingen in Weblate worden gelogd.
  - Gebruik Weblate met versiebeheer voor onveranderlijke geschiedenis.

4. Onthullen van informatie¶

I1. Lekken van nog niet uitgegeven productdetails.
- Risico: Vertalers krijgen vervroegde toegang tot nog niet uitgegeven mogelijkheden of vertrouwelijke terminologie.
- Beperkingen:
  - Segmenteer projecten om toegang tot gevoelige tekenreeksen te voorkomen.
  - Pas non-disclosure-overeenkomsten toe met externe bedrijven.
  - Vertraag het vertalen van zeer vertrouwelijke tekenreeksen tot de publieke uitgave.
I2. Weergeven van persoonlijke gegevens binnen tekenreeksen.
- Risico: Vertalers zouden toegang kunnen krijgen tot ingebedde gebruikersgegevens of die kunnen misbruiken.
- Beperkingen:
  - Vermijden van het weergeven van echte gebruikersgegevens in brontekenreeksen.
  - Gebruik plaatsvervangers voor gevoelige velden.

5. Onthouden van Service (DoS)¶

D1. In massa indienen van rommel-vertalingen.
- Risico: Wachtrijen voor nakijken worden overbelast; uitgave van tijdlijnen verstoord.
- Beperkingen:
  - Kies een toepasselijke werkstroom die overeenkomt met de capaciteit van uw team. Werkmethode aanpassen kan u in staat stellen dit per taal aan te passen.
  - Configureer geautomatiseerde kwaliteitscontroles voor vertalingen; bekijk Kwaliteitscontroles.

6. Verhoging van rechten¶

E1. De vertaler verkrijgt niet geautoriseerde project-brede toegang of beheerdersrechten.
- Risico: Escaleren leidt tot beschadigingen of weergeven van gegevens.
- Beperkingen:
  - Pas het principe van het kleinste recht toe.
  - Beoordeel regelmatig toegangsrechten en lidmaatschap van groepen.

Inventarisatie onderdelen¶

Brontekenreeksen: Zouden nog niet uitgegeven productmogelijkheden of wettelijke tekst kunnen bevatten.
Vertaalde tekenreeksen: Uitvoer die direct aan gebruikers wordt gepresenteerd.
Plaatsvervangers gebruikersgegevens: Namen, e-mails of ID’s waarnaar wordt verwezen in tekenreeksen.
Gegevens voor toegang: Accounts voor vertalers, bedrijven of bots.

Grenzen van vertrouwen¶

Organisatie ↔ Vertalers: Authenticatie en op rollen gebaseerde toegang moeten worden afgedwongen.
Vertaalplatform ↔ Bronbeheer: Synchronisatie vereist beveiligde tokens/sleutels.
Vertalers ↔ Vertaalplatform: Alle invoer moet worden opgeschoond voor integratie in builds.
Platform ↔ Eindgebruikers: Vertalingen moeten worden gevalideerd om injecteren van code te voorkomen.

Samenvatting van beperkingen¶

Dwing 2FA en RBAC af voor accounts van vertalers; bekijk Twee-factor authenticatie afgedwongen.
Eis non-disclosure-overeenkomsten of contracten voor professionele vertalers.
Gebruik geautomatiseerd scannen op kwaliteit/beveiliging voor vertalingen; bekijk Kwaliteitscontroles.
Voer peer review uit voor kritische tekenreeksen; bekijk Nakijken collega of Aangewezen beoordelaars.
Beperk de zichtbaarheid van het project om het weergeven van gevoelige inhoud te verkleinen; bekijk Project toegangsbeheer.
Patch en verhard uw Weblate-server regelmatig. U zou ook Ondersteuning krijgen voor Weblate kunnen overwegen.
Behoud onveranderlijke versiegeschiedenis voor alle wijzigingen van vertalingen in het versiebeheersysteem.

Conclusie¶

Derde-partij vertalers introduceren unieke risico’s, vergeleken met interne bijdragen. Met het juiste technische, organisatorische en contractuele beheer kunnen organisaties deze risico’s verkleinen en veilige externe vertaalservices integreren, waarbij productintegriteit en compliance wordt behouden.