Get started
الاستجابة للحوادث
1. الاكتشاف والفرز
تأتي الإشارات الأمنية من:
- استشارات أمان GitHub (GHSA) وتقارير الثغرات الخاصة.
- مشكلات GitHub العامة ومناقشاته عندما لا تكون التقارير حساسة.
- الإشارات المؤتمتة: Dependabot وCodeQL واستشارات npm وفحص الأسرار.
الفرز الأولي:
- تأكيد المكوّن والإصدار المتأثرين، وتأثير المشكلة في حدود الثقة.
- تصنيف الحالة بوصفها مشكلة أمنية أو تقوية أمنية/حالة لا تستلزم إجراءً، باستخدام قواعد النطاق وما هو خارج النطاق في
SECURITY.md. - يستجيب مالك الحادث وفقًا لذلك.
2. الخطورة
| الخطورة | التعريف |
|---|---|
| حرجة | اختراق الحزمة أو الإصدار أو المستودع، أو استغلال نشط، أو تجاوز غير مصادق عليه لحدود الثقة يتيح تحكمًا عالي التأثير أو كشفًا للبيانات. |
| مرتفعة | تجاوز مُثبت لحدود الثقة يتطلب شروطًا مسبقة محدودة (مثل تنفيذ إجراء عالي التأثير بواسطة مستخدم مصادق عليه لكنه غير مخوّل)، أو كشف بيانات اعتماد حساسة مملوكة لـ OpenClaw. |
| متوسطة | ضعف أمني كبير ذو تأثير عملي، لكن قابلية استغلاله محدودة أو يتطلب شروطًا مسبقة جوهرية. |
| منخفضة | نتائج تتعلق بالدفاع متعدد الطبقات، أو حجب خدمة محدود النطاق، أو ثغرات في التقوية الأمنية/التكافؤ من دون إثبات تجاوز لحدود الثقة. |
3. الاستجابة
- تأكيد استلام البلاغ للمبلّغ (بشكل خاص عندما يكون حساسًا).
- إعادة إنتاج المشكلة في الإصدارات المدعومة وأحدث نسخة من
main، ثم تنفيذ رقعة والتحقق منها مع تغطية اختبارات الانحدار. - للحوادث الحرجة/مرتفعة الخطورة: إعداد إصدار أو إصدارات مرقّعة بأسرع ما يمكن عمليًا.
- للحوادث متوسطة/منخفضة الخطورة: تطبيق الرقعة ضمن مسار الإصدار المعتاد وتوثيق إرشادات التخفيف.
4. التواصل والإفصاح
يُجرى التواصل عبر استشارات أمان GitHub في المستودع المتأثر، وملاحظات الإصدار/إدخالات سجل التغييرات للإصدارات التي تتضمن الإصلاح، والمتابعة المباشرة مع المبلّغ بشأن الحالة والحل.
تخضع الحوادث الحرجة/مرتفعة الخطورة لإفصاح منسّق، مع إصدار معرّف CVE عند الاقتضاء. ويمكن توثيق نتائج التقوية الأمنية منخفضة المخاطر في ملاحظات الإصدار أو الاستشارات من دون معرّف CVE، بحسب التأثير ومدى تعرّض المستخدمين.
5. الاسترداد والمتابعة
بعد طرح الإصلاح:
- التحقق من إجراءات المعالجة في CI وعناصر الإصدار.
- إجراء مراجعة قصيرة لما بعد الحادث: الجدول الزمني والسبب الجذري وفجوة الاكتشاف وخطة الوقاية.
- إضافة مهام متابعة للتقوية الأمنية والاختبارات والتوثيق، وتتبعها حتى اكتمالها.
ذو صلة
- سياسة الأمان — نطاق البلاغ ونموذج الثقة.
- نموذج التهديدات
Was this useful?