Weblate için olaylara müdahale planı¶

Kapsam ve hedefler¶

Bu olaylara müdahale planı, bir Weblate dağıtımının gizliliğini, bütünlüğünü veya kullanılabilirliğini etkileyen olayları kapsar.

Not

Plan özellikle Weblate s.r.o. tarafından yapılmış Weblate dağıtımları için tasarlanmıştır, ancak benzer şekilde diğer dağıtımlara da uygulanabilir.

Olaylara müdahale lideri: Müdahale sürecinin tüm aşamalarını yönetir.
Sistem yöneticisi: Sınırlama ve kurtarma önlemlerini yürütür.
Güvenlik görevlisi: Güvenlik etkisini ve düzenleyici sonuçları değerlendirir.
Data Protection Officer (DPO): Evaluates if personal data (PII) was compromised and manages mandatory GDPR notifications.
İletişim lideri: İç paydaşlara ve gerektiğinde dış taraflara yapılan bildirimleri yönetir.

Internal Communication:
- Primary channel is Signal for human-to-human coordination.
- Technical alerts remain outside of Signal to avoid noise.
External Communication:
- E-mail is used to reach customers.
- Customer contact lists are maintained in several locations to ensure access during service outages.
Public Disclosure:
- If a security vulnerability is discovered, follow Güvenlik açığı ve olay yönetimi.

Önem düzeyi	Definition	Target Acknowledge	Target Initial Action
Critical	Total outage; Admin compromise; Active data breach.	< 30 Minutes	4 Hours
Yüksek	Core feature failure; PII leak of single user.	< 2 Hours	12 Hours
Orta	Performance degradation; Minor security issue.	1 Business Day	3 Business Days
Düşük	UI bugs; Staging issues; Non-security errors.	Best Effort	Best Effort

Ensure regular daily backups of the PostgreSQL database and the data directory using Weblate’s built-in backup with rotation, see Weblate yedeğini alma ve taşıma.
Ensure Weblate uses a properly configured reverse proxy (e.g., NGINX) with HTTPS (TLS 1.2+).
Enable 2FA for all admin-level accounts.
Weblate kopyasını ve bağımlılıklarını (Python, Django, Celery, veri tabanı gibi) güncel tutun.
Denetim ve uygulama günlüğü iletimi için GELF iletişim kuralını kullanarak SIEM sistemleriyle bütünleştirin.

Sistem ve uygulama günlüklerini izleyin (journalctl, ters vekil sunucu günlükleri, Weblate uygulama ve denetim günlükleri).
Oturum açma olaylarını, internet kancası yürütülmelerini ve itme/çekme hatalarını inceleyin.
Configure alerting (via Prometheus, Zabbix, or SIEM) for multiple login failures, unexpected restarts, or irregular VCS actions.

Forensic Preservation: For Category 1 or 2 incidents, create a manual Hetzner Cloud Snapshot before taking disruptive action.
- Name format: IRP-[CaseID]-[YYYYMMDD]-Evidence.
- These are separate from standard rotating backups and must be preserved for analysis.
Geçici olarak erişimi kısıtlayın (örneğin, güvenlik duvarı kuralları veya hizmet yalıtımı ile).
Saldırı vektörünün bir parçasıysa dış bütünleştirmeleri (Git/webhooks) kapatın.
Etkilenen kullanıcı hesaplarını derhal askıya alın.

Olmaması gereken izinsiz kod veya verileri kaldırın.
Weblate veya sunucu bileşenlerini yükselterek bilinen güvenlik açıklarını kapatın.
SHA-256 sağlama toplamlarını veya Git günlüklerini kullanarak binary dosyaların ve deponun bütünlüğünü doğrulayın.

Restore affected services or data from the latest known-good Weblate backups.
PII Assessment: DPO determines if the breach requires a 72-hour GDPR notification.
Aşamalı bir yaklaşımla hizmetleri yeniden sunun.
Kurtarma sonrası en az 72 saat boyunca günlükleri ve sistem davranışını sürekli olarak izleyin.

Timeline: Hold a review meeting within 5 business days of incident closure.
Tam bir olay zaman çizelgesi hazırlayın ve alınan önlemleri ekleyin.
Perform Root Cause Analysis (RCA) and document it within 10 business days.
Update security policies and IRP documentation based on findings.
Algılama ve kontrol altına alma yapılarının etkinliğini değerlendirin.