漏洞和事件处理

报告安全问题

参见

如果你已经使用 AI 来发现 Weblate 中的安全问题，请阅读 使用 AI 创建问题。

Weblate 开发团队坚定致力于安全相关问题负责任的报告和披露。我们已经实施并遵守和及时向 Weblate 传输安全更新目标相适应的政策。

多数 Weblate 中的常规 bug 可以报告到我们的公开 GitHub issues tracker，但由于安全问题的敏感本质，我们请求不要用这种方式公开报告此类问题。

假如您觉得在 Weblate 中发现了某些有安全影响的东西，请将此问题的描述提交到 security@weblate.org、GitHub 或使用 HackerOne 。

安全团队的一名成员会在 48 小时内回应你，取决于所采取的操作，你可能会收到更多的后续电子邮件。

备注

发送加密报告

If you want to send an encrypted email (optional), please use the public key for security@weblate.org with ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

This public key is available on the most commonly used key servers, using WKD or directly from weblate.org.

提示

Weblate 在很多事情上依赖于第三方部件。如果你发现一个影响这些部件的漏洞，请直接报告给相应的项目。

这些中的一些是：

• Django

• Django REST 框架

• Python 社交认证

参见

• 在 Weblate 中汇报问题

漏洞披露政策

发行包含漏洞修复版本后 30 天内，安全通告会被发布在 https://github.com/WeblateOrg/weblate/security/advisories。如可能，公告会在版本发布后马上可用。

任何活跃利用的漏洞或严重事件在 24 小时内通知 CSIRT，72 小时内提供一般信息给 CSIRT，14天内提供完整报告。

所有受活跃利用漏洞或严重事件影响的托管或专用 Weblate 的用户会在 7 天内收到通知。