Vulnerability and incident handling

Güvenlik sorunlarını bildirmek

Ayrıca bakınız

Please read Using AI to create issues in case you have used AI to discover a security issue in Weblate.

Weblate geliştirici ekibi, güvenlikle ilgili sorunları sorumluluk alarak bildirmek ve açıklamak konusunda kararlıdır. Weblate güvenlik güncellemelerini zamanında sunmaya yönelik ilkelerimiz var ve bunlara uyuyoruz.

Most normal bugs in Weblate are reported to our public GitHub issues tracker, but due to the sensitive nature of security issues, we ask them not to be publicly reported in this fashion.

Bunun yerine, Weblate üzerinde güvenlikle ilgili etkileri olabilecek bir şey bulduğunuzu düşünüyorsanız, lütfen sorunun açıklamasını security@weblate.org adresini, GitHub adresini veya HackerOne adresini kullanarak gönderin.

Güvenlik ekibinden biri 48 saat içinde size yanıt verecektir ve yapılacak işlemlere bağlı olarak başka takip e-postaları da alabilirsiniz.

Not

Şifrelenmiş bildirimler göndermek

Şifrelenmiş bir e-posta göndermek isterseniz (isteğe bağlı), michal@weblate.org için herkese açık 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D anahtarını kullanın. Bu herkese açık anahtar yaygın kullanılan anahtar sunucularında ve Keybase üzerinde bulunabilir.

İpucu

Weblate, birçok şey için üçüncü taraf bileşenleri kullanır. Genel olarak bu bileşenlerden birini etkileyen bir güvenlik açığı bulursanız, lütfen bunu doğrudan ilgili projeye bildirin.

Bunların bazıları şunlardır:

• Django

• Django REST çatısı

• Python Social Auth

Vulnerability disclosure policy

Within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited vulnerability or severe incidents are notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

All users of Hosted or Dedicated Weblate impacted by a severe incident or an actively exploited vulnerability are notified within 7 days.