Get started

پاسخ‌گویی به رخداد

۱. شناسایی و ارزیابی اولیه

نشانه‌های امنیتی از منابع زیر دریافت می‌شوند:

  • هشدارهای امنیتی GitHub ‏(GHSA) و گزارش‌های خصوصی آسیب‌پذیری.
  • مسائل/گفت‌وگوهای عمومی GitHub، هنگامی که گزارش‌ها حساس نیستند.
  • نشانه‌های خودکار: Dependabot، CodeQL، هشدارهای npm و اسکن اسرار.

ارزیابی اولیه:

  1. مؤلفه و نسخهٔ تحت تأثیر و پیامد آن بر مرز اعتماد را تأیید کنید.
  2. با استفاده از قواعد دامنه و موارد خارج از دامنه در SECURITY.md، مورد را به‌عنوان مشکل امنیتی یا مقاوم‌سازی/بدون نیاز به اقدام طبقه‌بندی کنید.
  3. مسئول رخداد متناسب با آن پاسخ می‌دهد.

۲. شدت

شدت تعریف
بحرانی به‌خطر افتادن بسته/انتشار/مخزن، بهره‌برداری فعال، یا دور زدن بدون احراز هویت مرز اعتماد که امکان کنترل با پیامد بالا یا افشای داده‌ها را فراهم کند.
بالا دور زدن تأییدشدهٔ مرز اعتماد که به پیش‌شرط‌های محدودی نیاز دارد (برای مثال، اقدامی با پیامد بالا که احراز هویت شده اما مجاز نیست)، یا افشای اعتبارنامه‌های حساس متعلق به OpenClaw.
متوسط ضعف امنیتی قابل‌توجه با پیامد عملی، اما با قابلیت بهره‌برداری محدود یا نیازمند پیش‌شرط‌های اساسی.
پایین یافته‌های دفاع چندلایه، محروم‌سازی از سرویس با دامنهٔ محدود، یا کاستی‌های مقاوم‌سازی/هم‌ترازی بدون اثبات دور زدن مرز اعتماد.

۳. پاسخ‌گویی

  1. دریافت گزارش را به گزارش‌دهنده اعلام کنید (در موارد حساس، به‌صورت خصوصی).
  2. مشکل را در انتشارهای پشتیبانی‌شده و آخرین main بازتولید کنید، سپس وصله‌ای را همراه با پوشش آزمون بازگشت پیاده‌سازی و اعتبارسنجی کنید.
  3. بحرانی/بالا: انتشار یا انتشار‌های وصله‌شده را در سریع‌ترین زمان عملی آماده کنید.
  4. متوسط/پایین: وصله را در روند عادی انتشار ارائه و راهنمای کاهش خطر را مستند کنید.

۴. ارتباطات و افشا

ارتباطات را از طریق هشدارهای امنیتی GitHub در مخزن تحت تأثیر، یادداشت‌های انتشار/مدخل‌های گزارش تغییرات برای نسخه‌های اصلاح‌شده و پیگیری مستقیم وضعیت و رفع مشکل با گزارش‌دهنده انجام دهید.

رخدادهای بحرانی/با شدت بالا به‌صورت هماهنگ افشا می‌شوند و در صورت اقتضا برای آن‌ها CVE صادر می‌شود. یافته‌های مقاوم‌سازی کم‌خطر، بسته به پیامد و میزان مواجههٔ کاربران، ممکن است بدون CVE در یادداشت‌های انتشار یا هشدارها مستند شوند.

۵. بازیابی و پیگیری

پس از انتشار اصلاح:

  1. رفع مشکل را در CI و مصنوعات انتشار تأیید کنید.
  2. یک بازبینی کوتاه پس از رخداد انجام دهید: خط زمانی، علت ریشه‌ای، شکاف شناسایی و برنامهٔ پیشگیری.
  3. وظایف پیگیری مربوط به مقاوم‌سازی/آزمون‌ها/مستندات را اضافه کرده و تا تکمیل آن‌ها پیگیری کنید.

مرتبط

Was this useful?
On this page

On this page