Vulnerability and incident handling¶
Informar problemas de segurança¶
Veja também
Please read Using AI to create issues in case you have used AI to discover a security issue in Weblate.
A equipa de desenvolvimento da Weblate está fortemente comprometida com relatórios e divulgação responsáveis de problemas relacionados à segurança. Adotamos e seguimos políticas voltadas para a entrega de atualizações de segurança oportunas para a Weblate.
Most normal bugs in Weblate are reported to our public GitHub issues tracker, but due to the sensitive nature of security issues, we ask them not to be publicly reported in this fashion.
Em vez disso, se acredita ter encontrado algo no Weblate que tenha implicações de segurança, envie uma descrição do problema para security@weblate.org, GitHub ou usando HackerOne.
Um membro da equipa de segurança responderá-o dentro de 48 horas e, dependendo da ação tomada, poderá receber mais e-mails de acompanhamento.
Nota
Enviando relatórios criptografados
Se pretender enviar um email encriptado (opcional), utilize a chave pública de michal@weblate.org com o ID 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D. Esta chave pública está disponível nos servidores de chaves mais utilizados e em Keybase.
Dica
O Weblate depende de componentes de terceiros para muitas coisas. Caso encontre uma vulnerabilidade a afetar um desses componentes em geral, relate-o diretamente ao respectivo projeto.
Alguns deles são:
Vulnerability disclosure policy¶
Within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.
Any actively exploited vulnerability or severe incidents are notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.
All users of Hosted or Dedicated Weblate impacted by a severe incident or an actively exploited vulnerability are notified within 7 days.