Güvenlik açığı ve olay yönetimi

Güvenlik sorunlarını bildirmek

Ayrıca bakınız

Weblate üzerinde bir güvenlik sorunu keşfetmek için yapay zeka kullandıysanız lütfen Sorun bildirmek için yapay zekayı kullanmak bölümünü okuyun.

Weblate geliştirici takımı, güvenlikle ilgili sorunları sorumluluk alarak bildirmek ve açıklamak konusunda kararlıdır. Weblate güvenlik güncellemelerini zamanında sunmaya yönelik ilkelerimiz var ve bunlara uyuyoruz.

Weblate üzerindeki çoğu normal hata, herkese açık GitHub sorun izleyicimize bildirilir. Ancak güvenlik sorunlarının hassas doğası nedeniyle, bunların bu şekilde herkese açık olarak bildirilmemesini rica ediyoruz.

Bunun yerine, Weblate üzerinde güvenlikle ilgili etkileri olabilecek bir şey bulduğunuzu düşünüyorsanız, lütfen sorunun açıklamasını security@weblate.org adresini, GitHub adresini veya HackerOne adresini kullanarak gönderin.

Güvenlik takımından biri 48 saat içinde size yanıt verecektir ve yapılacak işlemlere bağlı olarak başka takip e-postaları da alabilirsiniz.

Not

Şifrelenmiş bildirimler göndermek

Şifrelenmiş bir e-posta göndermek istiyorsanız (isteğe bağlı), lütfen security@weblate.org için 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93 kimlikli herkese açık anahtarı kullanın.

Bu herkese açık anahtar, WKD kullanılarak veya doğrudan weblate.org adresinden yaygın kullanılan anahtar sunucularında bulunabilir.

İpucu

Weblate, birçok şey için üçüncü taraf bileşenleri kullanır. Genel olarak bu bileşenlerden birini etkileyen bir güvenlik açığı bulursanız, lütfen bunu doğrudan ilgili projeye bildirin.

Bunların bazıları şunlardır:

• Django

• Django REST çatısı

• Python Social Auth

Ayrıca bakınız

• Weblate sorunlarını bildirmek

Güvenlik açığını açıklama ilkesi

Güvenlik açığı düzeltmesi bulunan bir sürümü izleyen 30 gün içinde https://github.com/WeblateOrg/weblate/security/advisories adresinde bir güvenlik önerisi yayınlanır. Öneri, yapılabildiğinde bir sürümle birlikte hemen yayınlanır.

Aktif olarak kötüye kullanılan güvenlik açığı veya ciddi olaylar 24 saat içinde CSIRT tarafına bildirilir. 72 saat içinde CSIRT tarafına genel bilgiler verilir ve 14 gün içinde tam bir rapor gönderilir.

Ciddi bir olaydan veya aktif olarak kötüye kullanılan bir güvenlik açığından etkilenen tüm barındırılan veya özel Weblate kullanıcıları 7 gün içinde bilgilendirilir.