Обработка уязвимостей и инцидентов¶
Отчёты об уязвимостях продукта¶
См. также
Пожалуйста, прочитайте Использование ИИ для создания вопросов/проблем на случай, если вы использовали ИИ для обнаружения проблемы безопасности в Weblate.
Команда разработчиков Weblate решительно стремится к ответственному сообщению и раскрытию проблем, связанных с безопасностью. Мы приняли и следуем политикам, направленным на своевременное предоставление обновлений безопасности для Weblate.
Отчёты об уязвимостях продукта охватывают проблемы безопасности в исходном коде Weblate, артефактах выпуска и документированных свойствах безопасности Weblate. Они не заменяют реагирование на операционные инциденты для конкретного развёртывания.
Большинство обычных ошибок в Weblate сообщается в наш публичный трекер вопросов GitHub, но из-за чувствительного характера проблем безопасности мы просим не сообщать о них публично таким образом.
Вместо этого, если вы считаете, что нашли в Weblate нечто, имеющее последствия для безопасности, пожалуйста, отправьте описание проблемы по адресу security@weblate.org, на GitHub или через HackerOne.
Операторы самостоятельного хостинга должны использовать этот процесс, когда они полагают, что инцидент в их собственном развёртывании вызван уязвимостью продукта Weblate. Локальное сдерживание, восстановление, уведомление клиентов, эскалация поставщику и другие специфические для развёртывания действия по реагированию на инциденты остаются ответственностью оператора.
Член команды безопасности ответит вам в течение 48 часов, и в зависимости от предпринятых действий вы можете получить дополнительные последующие письма.
Примечание
Отправка зашифрованных отчётов
Если вы хотите отправить зашифрованное электронное письмо (необязательно), пожалуйста, используйте открытый ключ для security@weblate.org с идентификатором 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.
Этот открытый ключ доступен на наиболее часто используемых серверах ключей, с использованием WKD или напрямую с weblate.org.
Подсказка
Дабы выполнять различные задачи, Weblate также зависит от множества сторонних компонентов. В случае если вы нашли уязвимость прямо в одном из них, то сообщите о ней непосредственно в соответствующий проект.
Некоторые из них:
См. также
Инциденты услуг, управляемых Weblate¶
Операционные инциденты, затрагивающие Hosted Weblate, Dedicated Weblate или другие развёртывания, управляемые Weblate s.r.o., обрабатываются с использованием План реагирования на инциденты для Weblate.
Когда такой инцидент также включает уязвимость продукта Weblate, отчёт об уязвимости и публичное уведомление следуют процессу сообщения об уязвимостях продукта и Политика раскрытия уязвимостей на этой странице.
Инциденты развёртывания на собственном хостинге¶
Операторы развёртываний Weblate на собственном хостинге несут ответственность за свой локальный процесс реагирования на инциденты, включая сдерживание, восстановление, уведомление и эскалацию, специфичную для поставщика. Управляемый Weblate План реагирования на инциденты для Weblate может использоваться как справочный материал, но не является поддерживаемым планом реагирования на инциденты для сторонних развёртываний.
Если инцидент на собственном хостинге, по-видимому, вызван уязвимостью продукта Weblate, сообщите о нём, используя описанный выше процесс сообщения об уязвимостях продукта.
Политика раскрытия уязвимостей¶
Для уязвимостей продукта Weblate в течение 30 дней после выпуска, содержащего исправление уязвимости, публикуется уведомление о безопасности по адресу https://github.com/WeblateOrg/weblate/security/advisories. Уведомление доступно немедленно с выпуском, когда это возможно.
Любая активно используемая уязвимость Weblate или любой серьёзный инцидент, затрагивающий услуги, управляемые Weblate, уведомляется в CSIRT в течение 24 часов, общая информация предоставляется в CSIRT в течение 72 часов, а полный отчёт предоставляется в течение 14 дней.
Все пользователи Хостинга Weblate или Выделенного Weblate, затронутые серьёзным инцидентом или активно используемой уязвимостью, уведомляются в течение 7 дней.