Вразливість та обробка інцидентів

Product vulnerability reports

Дивись також

Будь ласка, прочитайте Використання штучного інтелекту для створення проблем, якщо ви використовували штучний інтелект для виявлення проблеми безпеки у Weblate.

Команда розробників Weblate твердо прихильна до відповідального звітування та розкриття інформації про проблеми, пов’язані з безпекою. Ми прийняли і дотримуємося політики, яка спрямована на своєчасне надання оновлень безпеки Weblate.

Product vulnerability reports cover security issues in Weblate source code, release artifacts, and documented Weblate security properties. They do not replace operational incident response for a particular deployment.

Більшість звичайних помилок у Weblate повідомляються нашій публіці. Відстеження проблем GitHub, але через делікатний характер питань безпеки, ми просимо не повідомляти про них публічно таким чином.

Натомість, якщо ви вважаєте, що знайшли у Weblate щось, що може вплинути на безпеку, будь ласка, надішліть опис проблеми на security@weblate.org, GitHub або за допомогою HackerOne.

Self-hosted operators should use this process when they believe an incident in their own deployment is caused by a Weblate product vulnerability. Local containment, recovery, customer notification, provider escalation, and other deployment-specific incident response remain the operator’s responsibility.

Співробітник служби безпеки відповість вам протягом 48 годин, і в залежності від того, які дії будуть вжиті, ви можете отримати додаткові електронні листи.

Примітка

Надсилання зашифрованих звітів

Якщо ви хочете надіслати зашифрований електронний лист (необов’язково), будь ласка, використовуйте відкритий ключ для security@weblate.org з ідентифікатором 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Цей відкритий ключ доступний на найчастіше використовуваних серверах ключів, за допомогою WKD або безпосередньо з weblate.org..

Підказка

Weblate залежить від сторонніх складників для виконання багатьох завдань. Якщо вами буде виявлено вразливість, яка стосується одного з цих складників загалом, будь ласка, повідомте про неї розробникам відповідного проєкту.

Ось деякі з цих складників:

Дивись також

Weblate-operated service incidents

Operational incidents affecting Hosted Weblate, Dedicated Weblate, or other deployments operated by Weblate s.r.o. are handled using План реагування на інциденти для Weblate.

When such an incident also involves a Weblate product vulnerability, the vulnerability report and public advisory follow the product vulnerability reporting process and Політика розкриття інформації про вразливості on this page.

Self-hosted deployment incidents

Operators of self-hosted Weblate deployments are responsible for their local incident response process, including containment, recovery, notification, and provider-specific escalation. The Weblate-operated План реагування на інциденти для Weblate can be used as a reference, but it is not a maintained incident response plan for third-party deployments.

If a self-hosted incident appears to be caused by a Weblate product vulnerability, report it using the product vulnerability reporting process above.

Політика розкриття інформації про вразливості

For Weblate product vulnerabilities, within 30 days following a release containing a vulnerability fix, a security advisory is published at https://github.com/WeblateOrg/weblate/security/advisories. The advisory is available immediately with a release when possible.

Any actively exploited Weblate vulnerability, or any severe incident affecting Weblate-operated services, is notified to CSIRT within 24 hours, general info is provided to CSIRT within 72 hours, and a full report is provided within 14 days.

Усі користувачі розміщеного або виділеного Weblate, на яких вплинув серйозний інцидент або активно використовувана вразливість, отримують повідомлення протягом 7 днів.