Kwetsbaarheid en incidentafhandeling

Veiligheidsproblemen melden

Zie ook

Lees Using AI to create issues in het geval u AI hebt gebruikt om een beveiligingsprobleem Weblate vast te stellen.

Het ontwikkelteam van Weblate is sterk verbonden met het verantwoordelijk rapporteren en onthullen van aan beveiliging gerelateerde problemen. We hebben beleid ontwikkeld, en volgen dat, dat is gericht op het tijdig leveren van beveiligingsupdates voor Weblate.

De meeste normale problemen in Weblate worden gerapporteerd in ons publieke GitHub volgsysteem voor problemen, maar door de gevoelige status van problemen met beveiliging, vragen we om die niet op deze manier openbaar te rapporteren.

In plaats daarvan, als u gelooft dat u iets in Weblate hebt gevonden dat implicaties voor de beveiliging heeft, dien dan een beschrijving van het probleem in bij security@weblate.org, GitHub, of gebruik HackerOne.

Een lid van het beveiligingsteam zal binnen 48 uur contact met u opnemen, en, afhankelijk van welke actie is ondernomen, zou u meer e-mails kunnen ontvangen voor de follow-up.

Notitie

Versleutelde rapporten verzenden

Als u een versleutelde e-mail wilt verzenden (optioneel), gebruik dan de publieke sleutel voor michal@weblate.org met ID 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D. Deze publieke sleutel is ook beschikbaar op de meest gebruikte sleutelservers, en vanaf Keybase.

Hint

Weblate is voor veel dingen afhankelijk van onderdelen van derde partijen. In het geval dat u een kwetsbaarheid vindt die in het algemeen een van deze onderdelen beïnvloedt, rapporteer het direct naar het respectievelijke project.

Enkele hiervan zijn:

• Django

• Django REST framewerk

• Python Social Auth

Beleid voor openbaar maken kwetsbaarheden

Binnen 30 dagen na een uitgave die de reparatie van ene kwetsbaarheid repareert, zal een beveiligingsadvies worden gepubliceerd op https://github.com/WeblateOrg/weblate/security/advisories. Het advies is, indien mogelijk, onmiddellijk beschikbaar met een uitgave.

Elke actief geëxploiteerde kwetsbaarheid of ernstige incidenten worden ter kennis gebracht van CSIRT binnen 24 uur, algemene informatie wordt aan CSIRT verschaft binnen 72 uur en een volledig rapport wordt binnen 14 dagen vershaft.

Alle gebruikers van Hosted of Dedicated Weblate die worden getroffen door een ernstig incident of een actief geëxploiteerde kwetsbaarheid worden binnen 7 dagen in kennis gesteld.