漏洞和事件处理

报告安全问题

参见

如果你已经使用 AI 来发现 Weblate 中的安全问题，请阅读 使用 AI 创建问题。

Weblate 开发团队坚定致力于安全相关问题负责任的报告和披露。我们已经实施并遵守和及时向 Weblate 传输安全更新目标相适应的政策。

多数 Weblate 中的常规 bug 可以报告到我们的公开 GitHub issues tracker，但由于安全问题的敏感本质，我们请求不要用这种方式公开报告此类问题。

假如您觉得在 Weblate 中发现了某些有安全影响的东西，请将此问题的描述提交到 security@weblate.org、GitHub 或使用 HackerOne 。

安全团队的一名成员会在 48 小时内回应你，取决于所采取的操作，你可能会收到更多的后续电子邮件。

备注

发送加密报告

如果你想发送加密邮件 (可选)，请使用 michal@weblate.org 的公钥，ID 为 3CB 1DF1 EF12 CF2A C0EE 5A32 9C27 B313 42B7 511D。此公钥在多数常用的 key 服务器上可用，也可以从 Keybase 获取它。

提示

Weblate 在很多事情上依赖于第三方部件。如果你发现一个影响这些部件的漏洞，请直接报告给相应的项目。

这些中的一些是：

• Django

• Django REST 框架

• Python 社交认证

漏洞披露政策

发行包含漏洞修复版本后 30 天内，安全通告会被发布在 https://github.com/WeblateOrg/weblate/security/advisories。如可能，公告会在版本发布后马上可用。

任何活跃利用的漏洞或严重事件在 24 小时内通知 CSIRT，72 小时内提供一般信息给 CSIRT，14天内提供完整报告。

所有受活跃利用漏洞或严重事件影响的托管或专用 Weblate 的用户会在 7 天内收到通知。