Güvenlik açığı ve olay yönetimi

Product vulnerability reports

Ayrıca bakınız

Weblate üzerinde bir güvenlik sorunu keşfetmek için yapay zeka kullandıysanız lütfen Sorun bildirmek için yapay zekayı kullanmak bölümünü okuyun.

Weblate geliştirici takımı, güvenlikle ilgili sorunları sorumluluk alarak bildirmek ve açıklamak konusunda kararlıdır. Weblate güvenlik güncellemelerini zamanında sunmaya yönelik ilkelerimiz var ve bunlara uyuyoruz.

Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.

Weblate üzerindeki çoğu normal hata, herkese açık GitHub sorun izleyicimize bildirilir. Ancak güvenlik sorunlarının hassas doğası nedeniyle, bunların bu şekilde herkese açık olarak bildirilmemesini rica ediyoruz.

Bunun yerine, Weblate üzerinde güvenlikle ilgili etkileri olabilecek bir şey bulduğunuzu düşünüyorsanız, lütfen sorunun açıklamasını security@weblate.org adresini, GitHub adresini veya HackerOne adresini kullanarak gönderin.

Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.

Güvenlik takımından biri 48 saat içinde size yanıt verecektir ve yapılacak işlemlere bağlı olarak başka takip e-postaları da alabilirsiniz.

Not

Şifrelenmiş bildirimler göndermek

Şifrelenmiş bir e-posta göndermek istiyorsanız (isteğe bağlı), lütfen security@weblate.org için 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93 kimlikli herkese açık anahtarı kullanın.

Bu herkese açık anahtar, WKD kullanılarak veya doğrudan weblate.org adresinden yaygın kullanılan anahtar sunucularında bulunabilir.

İpucu

Weblate, birçok şey için üçüncü taraf bileşenleri kullanır. Genel olarak bu bileşenlerden birini etkileyen bir güvenlik açığı bulursanız, lütfen bunu doğrudan ilgili projeye bildirin.

Bunların bazıları şunlardır:

• Django

• Django REST çatısı

• Python Social Auth

Ayrıca bakınız

• Weblate sorunlarını bildirmek

Weblate-operated service incidents

Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using Weblate için olaylara müdahale planı.

When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Güvenlik açığını açıklama ilkesi on this page.

Self-hosted deployment incidents

Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated Weblate için olaylara müdahale planı can be used as a reference, but it is not a maintained incident response plan for third-party deployments.

If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.

Güvenlik açığını açıklama ilkesi

For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

Ciddi bir olaydan veya aktif olarak kötüye kullanılan bir güvenlik açığından etkilenen tüm barındırılan veya özel Weblate kullanıcıları 7 gün içinde bilgilendirilir.