Sårbarhet och incidenthantering

Product vulnerability reports

Se även

Läs Använda AI för att skapa problem om du har använt AI för att upptäcka ett säkerhetsproblem i Weblate.

Weblates utvecklingsteam är starkt engagerat i ansvarsfull rapportering och offentliggörande av säkerhetsrelaterade frågor. Vi har antagit och följer policyer som är inriktade på att leverera säkerhetsuppdateringar till Weblate i rätt tid.

Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.

De flesta vanliga buggar i Weblate rapporteras till vår offentliga GitHub-ärendehanterare, men på grund av säkerhetsfrågornas känsliga natur ber vi att de inte rapporteras offentligt på detta sätt.

Om du istället tror att du har hittat något i Weblate som har säkerhetsimplikationer, vänligen skicka en beskrivning av problemet till security@weblate.org, GitHub eller använd HackerOne.

Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.

En medlem av säkerhetsteamet kommer att svara dig inom 48 timmar, och beroende på vilka åtgärder som vidtas kan du få fler uppföljningsmejl.

Observera

Skicka krypterade rapporter

Om du vill skicka ett krypterat e-postmeddelande (valfritt) använder du den offentliga nyckeln för security@weblate.org med ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Denna publika nyckel finns tillgänglig på de mest använda nyckelserverna, med hjälp av WKD eller direkt från weblate.org <https://weblate.org/.well-known/openpgpkey/hu/t5s8ztdbon8yzntexy6oz5y48etqsnbb?l=security>.

Råd

Weblate är beroende av komponenter från tredje part för många saker. Om du upptäcker en sårbarhet som påverkar någon av dessa komponenter i allmänhet, vänligen rapportera den direkt till respektive projekt.

Några av dessa är:

• Django

• Django REST framework

• Python Social Auth

Se även

• Rapportera problem i Weblate

Weblate-operated service incidents

Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Incidenthanteringsplan för Weblate.

When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Policy för offentliggörande av sårbarheter on this page.

Self-hosted deployment incidents

Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Incidenthanteringsplan för Weblate can be used as a reference, but it is not a maintained incident response plan for third-party deployments.

If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.

Policy för offentliggörande av sårbarheter

For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

Alla användare av Hosted eller Dedicated Weblate som drabbats av en allvarlig incident eller en aktivt utnyttjad sårbarhet underrättas inom 7 dagar.