Вразливість та обробка інцидентів

Звітування щодо проблем із захистом

Дивись також

Будь ласка, прочитайте Використання штучного інтелекту для створення проблем, якщо ви використовували штучний інтелект для виявлення проблеми безпеки у Weblate.

Команда розробників Weblate твердо прихильна до відповідального звітування та розкриття інформації про проблеми, пов’язані з безпекою. Ми прийняли і дотримуємося політики, яка спрямована на своєчасне надання оновлень безпеки Weblate.

Більшість звичайних помилок у Weblate повідомляються нашій публіці. Відстеження проблем GitHub, але через делікатний характер питань безпеки, ми просимо не повідомляти про них публічно таким чином.

Натомість, якщо ви вважаєте, що знайшли у Weblate щось, що може вплинути на безпеку, будь ласка, надішліть опис проблеми на security@weblate.org, GitHub або за допомогою HackerOne.

Співробітник служби безпеки відповість вам протягом 48 годин, і в залежності від того, які дії будуть вжиті, ви можете отримати додаткові електронні листи.

Примітка

Надсилання зашифрованих звітів

Якщо ви хочете надіслати зашифрований електронний лист (необов’язково), використовуйте відкритий ключ для michal@weblate.org з ідентифікатором 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D. Цей відкритий ключ доступний на найбільш часто використовуваних серверах ключів і на Keybase.

Підказка

Weblate залежить від сторонніх складників для виконання багатьох завдань. Якщо вами буде виявлено вразливість, яка стосується одного з цих складників загалом, будь ласка, повідомте про неї розробникам відповідного проєкту.

Ось деякі з цих складників:

• Django

• Бібліотека REST Django

• Python Social Auth

Політика розкриття інформації про вразливості

Протягом 30 днів після випуску випуску, що містить виправлення вразливостей, на сайті https://github.com/WeblateOrg/weblate/security/advisories публікується рекомендація з безпеки. За можливості, консультація стає доступною одразу з випуском.

Про будь-яку активно використовувану вразливість або серйозні інциденти повідомляється CSIRT протягом 24 годин, загальна інформація надається CSIRT протягом 72 годин, а повний звіт надається протягом 14 днів.

Усі користувачі розміщеного або виділеного Weblate, на яких вплинув серйозний інцидент або активно використовувана вразливість, отримують повідомлення протягом 7 днів.