Обработка уязвимостей и инцидентов

Уведомление о проблемах безопасности

См. также

Пожалуйста, прочитайте Использование ИИ для создания вопросов/проблем на случай, если вы использовали ИИ для обнаружения проблемы безопасности в Weblate.

Команда разработчиков Weblate решительно стремится к ответственному сообщению и раскрытию проблем, связанных с безопасностью. Мы приняли и следуем политикам, направленным на своевременное предоставление обновлений безопасности для Weblate.

Большинство обычных ошибок в Weblate сообщается в наш публичный трекер вопросов GitHub, но из-за чувствительного характера проблем безопасности мы просим не сообщать о них публично таким образом.

Вместо этого, если вы считаете, что нашли в Weblate нечто, имеющее последствия для безопасности, пожалуйста, отправьте описание проблемы по адресу security@weblate.org, на GitHub или через HackerOne.

Член команды безопасности ответит вам в течение 48 часов, и в зависимости от предпринятых действий вы можете получить дополнительные последующие письма.

Примечание

Отправка зашифрованных отчётов

Если вы хотите отправить зашифрованное электронное письмо (необязательно), пожалуйста, используйте открытый ключ для security@weblate.org с идентификатором 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Этот открытый ключ доступен на наиболее часто используемых серверах ключей, с использованием WKD или напрямую с weblate.org.

Подсказка

Дабы выполнять различные задачи, Weblate также зависит от множества сторонних компонентов. В случае если вы нашли уязвимость прямо в одном из них, то сообщите о ней непосредственно в соответствующий проект.

Некоторые из них:

• Django

• Среда Django REST

• Python Social Auth

См. также

• Сообщение о проблемах в Weblate

Политика раскрытия уязвимостей

В течение 30 дней после выпуска, содержащего исправление уязвимости, уведомление о безопасности публикуется по адресу https://github.com/WeblateOrg/weblate/security/advisories. Уведомление доступно немедленно с выпуском, когда это возможно.

О любой активно используемой уязвимости или серьёзном инциденте уведомляется CSIRT в течение 24 часов, общая информация предоставляется в CSIRT в течение 72 часов, а полный отчёт предоставляется в течение 14 дней.

Все пользователи Хостинга Weblate или Выделенного Weblate, затронутые серьёзным инцидентом или активно используемой уязвимостью, уведомляются в течение 7 дней.