Get started
پاسخگویی به رخداد
۱. شناسایی و ارزیابی اولیه
نشانههای امنیتی از منابع زیر دریافت میشوند:
- هشدارهای امنیتی GitHub (GHSA) و گزارشهای خصوصی آسیبپذیری.
- مسائل/گفتوگوهای عمومی GitHub، هنگامی که گزارشها حساس نیستند.
- نشانههای خودکار: Dependabot، CodeQL، هشدارهای npm و اسکن اسرار.
ارزیابی اولیه:
- مؤلفه و نسخهٔ تحت تأثیر و پیامد آن بر مرز اعتماد را تأیید کنید.
- با استفاده از قواعد دامنه و موارد خارج از دامنه در
SECURITY.md، مورد را بهعنوان مشکل امنیتی یا مقاومسازی/بدون نیاز به اقدام طبقهبندی کنید. - مسئول رخداد متناسب با آن پاسخ میدهد.
۲. شدت
| شدت | تعریف |
|---|---|
| بحرانی | بهخطر افتادن بسته/انتشار/مخزن، بهرهبرداری فعال، یا دور زدن بدون احراز هویت مرز اعتماد که امکان کنترل با پیامد بالا یا افشای دادهها را فراهم کند. |
| بالا | دور زدن تأییدشدهٔ مرز اعتماد که به پیششرطهای محدودی نیاز دارد (برای مثال، اقدامی با پیامد بالا که احراز هویت شده اما مجاز نیست)، یا افشای اعتبارنامههای حساس متعلق به OpenClaw. |
| متوسط | ضعف امنیتی قابلتوجه با پیامد عملی، اما با قابلیت بهرهبرداری محدود یا نیازمند پیششرطهای اساسی. |
| پایین | یافتههای دفاع چندلایه، محرومسازی از سرویس با دامنهٔ محدود، یا کاستیهای مقاومسازی/همترازی بدون اثبات دور زدن مرز اعتماد. |
۳. پاسخگویی
- دریافت گزارش را به گزارشدهنده اعلام کنید (در موارد حساس، بهصورت خصوصی).
- مشکل را در انتشارهای پشتیبانیشده و آخرین
mainبازتولید کنید، سپس وصلهای را همراه با پوشش آزمون بازگشت پیادهسازی و اعتبارسنجی کنید. - بحرانی/بالا: انتشار یا انتشارهای وصلهشده را در سریعترین زمان عملی آماده کنید.
- متوسط/پایین: وصله را در روند عادی انتشار ارائه و راهنمای کاهش خطر را مستند کنید.
۴. ارتباطات و افشا
ارتباطات را از طریق هشدارهای امنیتی GitHub در مخزن تحت تأثیر، یادداشتهای انتشار/مدخلهای گزارش تغییرات برای نسخههای اصلاحشده و پیگیری مستقیم وضعیت و رفع مشکل با گزارشدهنده انجام دهید.
رخدادهای بحرانی/با شدت بالا بهصورت هماهنگ افشا میشوند و در صورت اقتضا برای آنها CVE صادر میشود. یافتههای مقاومسازی کمخطر، بسته به پیامد و میزان مواجههٔ کاربران، ممکن است بدون CVE در یادداشتهای انتشار یا هشدارها مستند شوند.
۵. بازیابی و پیگیری
پس از انتشار اصلاح:
- رفع مشکل را در CI و مصنوعات انتشار تأیید کنید.
- یک بازبینی کوتاه پس از رخداد انجام دهید: خط زمانی، علت ریشهای، شکاف شناسایی و برنامهٔ پیشگیری.
- وظایف پیگیری مربوط به مقاومسازی/آزمونها/مستندات را اضافه کرده و تا تکمیل آنها پیگیری کنید.
مرتبط
- سیاست امنیتی — دامنهٔ گزارش و مدل اعتماد.
- مدل تهدید
Was this useful?