Sårbarhet och incidenthantering

Rapportering av säkerhetsproblem

Se även

Läs Använda AI för att skapa problem om du har använt AI för att upptäcka ett säkerhetsproblem i Weblate.

Weblates utvecklingsteam är starkt engagerat i ansvarsfull rapportering och offentliggörande av säkerhetsrelaterade frågor. Vi har antagit och följer policyer som är inriktade på att leverera säkerhetsuppdateringar till Weblate i rätt tid.

De flesta vanliga buggar i Weblate rapporteras till vår offentliga GitHub-ärendehanterare, men på grund av säkerhetsfrågornas känsliga natur ber vi att de inte rapporteras offentligt på detta sätt.

Om du istället tror att du har hittat något i Weblate som har säkerhetsimplikationer, vänligen skicka en beskrivning av problemet till security@weblate.org, GitHub eller använd HackerOne.

En medlem av säkerhetsteamet kommer att svara dig inom 48 timmar, och beroende på vilka åtgärder som vidtas kan du få fler uppföljningsmejl.

Observera

Skicka krypterade rapporter

Om du vill skicka ett krypterat e-postmeddelande (valfritt) använder du den offentliga nyckeln för security@weblate.org med ID 8EA7 6E43 0976 3323 C2E3 D5A0 C472 9F23 8A80 EA93.

Denna publika nyckel finns tillgänglig på de mest använda nyckelserverna, med hjälp av WKD eller direkt från weblate.org <https://weblate.org/.well-known/openpgpkey/hu/t5s8ztdbon8yzntexy6oz5y48etqsnbb?l=security>.

Råd

Weblate är beroende av komponenter från tredje part för många saker. Om du upptäcker en sårbarhet som påverkar någon av dessa komponenter i allmänhet, vänligen rapportera den direkt till respektive projekt.

Några av dessa är:

• Django

• Django REST framework

• Python Social Auth

Se även

• Rapportera problem i Weblate

Policy för offentliggörande av sårbarheter

Inom 30 dagar efter en release som innehåller en sårbarhetskorrigering publiceras en säkerhetsrekommendation på https://github.com/WeblateOrg/weblate/security/advisories. Rekommendationen är tillgänglig omedelbart vid en release när det är möjligt.

Alla aktivt utnyttjade sårbarheter eller allvarliga incidenter rapporteras till CSIRT inom 24 timmar, allmän information lämnas till CSIRT inom 72 timmar och en fullständig rapport lämnas inom 14 dagar.

Alla användare av Hosted eller Dedicated Weblate som drabbats av en allvarlig incident eller en aktivt utnyttjad sårbarhet underrättas inom 7 dagar.