Yerelleştirme Tehdit Modeli

Çeviri görevlerinin üçüncü taraflara yaptırılması veya topluluk destekli kaynak kullanımı ek güvenlik ve gizlilik risklerini beraberinde getirir. İç geliştirme takımlarının aksine, çevirmenlerin kurumla sınırlı güven ilişkisi olabilir ve çeşitli yetki alanlarında çalışabilir. Bu model, dış çeviri katılımcılarıyla ilişkili tehditleri tanımlar ve sınıflandırır.

Temel Varsayımlar

• Çevirmenler yüklenici, gönüllü veya farklı düzeylerde güvenlik denetimi olan ajanslar olabilir.

• Çevirmenlerin Weblate arayüzüne erişmesi gerekir.

• Çeviri dizgelerinde yayınlanmamış özellikler, yasal hükümler veya güvenlik iletileri gibi hassas içerikler bulunabilir.

• Kuruluşun çevirmenlerin yerel ortamları üzerinde sınırlı denetimi vardır.

Tehdit Kategorileri (STRIDE)

1. Taklitçilik

• S1. Gerçek katılımcıları taklit eden sahte çevirmen hesapları.

  • Risk: Projelere yetkisiz erişim veya kötü niyetli dizgelerin eklenmesi.

  • Etki azaltma:

    • Güçlü kimlik doğrulaması (iki adımlı) uygulayın. Ayrıntılı bilgi almak için: Dayatılan iki adımlı doğrulama.

    • Sözleşmeli çevirmenlerin kimliklerini doğrulayın.

    • Proje kapsamını sınırlamak için rol temelli erişim izinleri kullanın. Ayrıntılı bilgi almak için: Proje erişim denetimi.

2. Kurcalama

• T1. Zararlı yükler ekleyen kötü niyetli çeviriler.

  • Risk: Çevirilerde doğru şekilde kaçılmazsa JavaScript, HTML veya biçim dizgesi saldırıları araya eklenebilir.

  • Etki azaltma:

    • Weblate üzerinde sıkı giriş doğrulaması uygulayın. Güvenli olmayan HTML gibi kalite denetimleri uygulamak yardımcı olabilir. Ayrıntılı bilgi almak için: Kalite denetimleri ve Zorunlu denetimler.

    • Kesintisiz bütünleştirme altyapınızda çeviri dosyaları için kendiliğinden güvenlik taraması kullanın.

    • Çeviri dosyalarındaki tehlikeli kodların kullanımını sınırlayın. Kullanılan yerelleştirme çatısına bağlı olarak, bu kasıtsız olarak yapılabilir, isteğe bağlı olabilir veya üçüncü taraf bir kitaplık kullanılması gerekebilir.

• T2. Yanıltıcı çevirilerin eklenmesi.

  • Risk: Kullanıcıların uygulamanın davranışı ile ilgili yanlış yönlendirilmesi (rıza pencerelerindeki çevirilerin yanlış yapılması gibi).

  • Etki azaltma:

    • Kritik dizgeler için akran değerlendirmesi yapın. Ayrıntılı bilgi almak için: Akran değerlendirmesi veya Özel onaylayıcılar.

    • Uygun olmayan kullanımı önlemek için biçem kuralları ve Sözlük kullanın.

3. Reddetme

• R1. Kötü niyetli veya düşük kaliteli çevirilere ilişkin anlaşmazlıklar.

  • Risk: Çevirmenler yaptıkları katkılarla ilgili sorumluluğu reddeder.

  • Etki azaltma:

    • Weblate üzerindeki tüm değişiklikler günlüğe kaydedilir.

    • Değişmez geçmiş için sürüm denetimi ile Weblate kullanın.

4. Bilgilerin Açıklanması

• I1. Duyurulmamış ürün ayrıntılarının sızdırılması.

  • Risk: Çevirmenler henüz duyurulmamış özelliklere veya gizli terminolojiye erkenden erişebilir.

  • Etki azaltma:

    • Hassas dizgelere erişimi sınırlamak için projeleri bölümlere ayırın.

    • Dış kuruluşlarla gizlilik anlaşmaları yapın.

    • Çok gizli dizgelerin çevirisini herkese açıklanıncaya kadar erteleyin.

• I2. Kişisel verilerin dizgeler içinde açığa çıkması.

  • Risk: Çevirmenler eklenmiş kullanıcı verilerine erişebilir veya bunları kötüye kullanabilir.

  • Etki azaltma:

    • Kaynak dizgelerde gerçek kullanıcı verilerini açığa çıkarmaktan kaçının.

    • Önemli alanlar için yer belirticileri kullanın.

5. Hizmet Reddi

• D1. Önemsiz çevirilerin toplu olarak gönderilmesi.

  • Risk: İnceleme kuyruklarında yoğunluk; yayınlama zaman planlarında aksama.

  • Etki azaltma:

    • Takım kapasitenize uygun bir iş akışı seçin. İş akışı özelleştirme bunu tek tek dillere göre ayarlamanızı sağlayabilir.

    • Kendiliğinden çeviri kalite denetimlerini yapılandırın. Ayrıntılı bilgi almak için: Kalite denetimleri.

6. Yetkilerin Artması

• E1. Çevirmen yetkisi olmayan proje üzerinde veya yönetimde yetkiler elde eder.

  • Risk: Kurcalama veya verilerin açığa çıkmasına yol açan yetki artışı.

  • Etki azaltma:

    • En az yetki ilkesini uygulayın.

    • Erişim izinlerini ve grup üyeliklerini düzenli olarak gözden geçirin.

Varlık Envanteri

• Kaynak dizgeler: Duyurulmamış ürün özellikleri veya yasal içerikler bulunabilir.

• Çevrilmiş dizgeler: Doğrudan son kullanıcılara sunulan çıktı.

• Kullanıcı verileri yer belirticileri: Dizgelerde başvurulan adlar, e-posta adresleri veya kimlikler.

• Erişim kimlik doğrulama bilgileri: Çevirmenler, aracılar veya botlar için hesaplar.

Güven Sınırları

• Kuruluş ↔ Çevirmenler: Kimlik doğrulama ve rol temelli erişim zorunlu kılınmalıdır.

• Çeviri platformu ↔ Kaynak denetimi: Eşitleme için güvenli kodlar/anahtarlar gerekir.

• Çevirmenler ↔ Çeviri platformu: Yapımlar ile bütünleştirilmeden önce tüm kayıtlar temizlenmelidir.

• Platform ↔ Son kullanıcılar: Çeviriler, kodların eklenmesini önlemek için doğrulanmalıdır.

Etki Azaltma Özeti

• Çevirmen hesapları için iki adımlı doğrulama ve RBAC uygulayın. Ayrıntılı bilgi almak için: Dayatılan iki adımlı doğrulama.

• Profesyonel çevirmenler için gizlilik anlaşmalarını veya sözleşmelerini zorunlu kılın.

• Çeviriler için kendiliğinden kalite/güvenlik taraması kullanın. Ayrıntılı bilgi almak için: Kalite denetimleri.

• Kritik dizgeler için akran değerlendirmesi yapın. Ayrıntılı bilgi almak için: Akran değerlendirmesi veya Özel onaylayıcılar.

• Hassas içeriğin açığa çıkmasını azaltmak için proje görünürlüğünü sınırlayın. Ayrıntılı bilgi almak için: Proje erişim denetimi.

• Weblate sunucunuzu düzenli olarak yamayın ve sağlamlaştırın. Ayrıca Weblate için destek almak bölümünü de göz önünde bulundurabilirsiniz.

• Sürüm denetimi sistemindeki tüm çeviri değişiklikleri için değişmez sürüm geçmişini saklayın.

Sonuç

Üçüncü taraf çevirmenler, içeriden katkıda bulunanlara göre benzersiz riskler taşır. Uygun teknik, organizasyonel ve sözleşmeye dayalı denetimlerle kuruluşlar bu riskleri azaltabilir ve ürün bütünlüğünü ve uyumluluğunu korurken dış çeviri hizmetlerini güvenli bir şekilde bütünleştirebilir.