Обработка уязвимостей и инцидентов¶
Product vulnerability reports¶
См. также
Пожалуйста, прочитайте Использование ИИ для создания вопросов/проблем на случай, если вы использовали ИИ для обнаружения проблемы безопасности в Weblate.
Команда разработчиков Weblate решительно стремится к ответственному сообщению и раскрытию проблем, связанных с безопасностью. Мы приняли и следуем политикам, направленным на своевременное предоставление обновлений безопасности для Weblate.
Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.
Большинство обычных ошибок в Weblate сообщается в наш публичный трекер вопросов GitHub, но из-за чувствительного характера проблем безопасности мы просим не сообщать о них публично таким образом.
Вместо этого, если вы считаете, что нашли в Weblate нечто, имеющее последствия для безопасности, пожалуйста, отправьте описание проблемы по адресу security@weblate.org, на GitHub или через HackerOne.
Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.
Член команды безопасности ответит вам в течение 48 часов, и в зависимости от предпринятых действий вы можете получить дополнительные последующие письма.
Примечание
Отправка зашифрованных отчётов
Если вы хотите отправить зашифрованное электронное письмо (необязательно), пожалуйста, используйте открытый ключ для security@weblate.org с идентификатором 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.
Этот открытый ключ доступен на наиболее часто используемых серверах ключей, с использованием WKD или напрямую с weblate.org.
Подсказка
Дабы выполнять различные задачи, Weblate также зависит от множества сторонних компонентов. В случае если вы нашли уязвимость прямо в одном из них, то сообщите о ней непосредственно в соответствующий проект.
Некоторые из них:
См. также
Weblate-operated service incidents¶
Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using План реагирования на инциденты для Weblate.
When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Политика раскрытия уязвимостей on this page.
Self-hosted deployment incidents¶
Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated План реагирования на инциденты для Weblate can be used as a reference, but it is not a maintained incident response plan for third-party deployments.
If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.
Политика раскрытия уязвимостей¶
For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.
Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.
Все пользователи Хостинга Weblate или Выделенного Weblate, затронутые серьёзным инцидентом или активно используемой уязвимостью, уведомляются в течение 7 дней.