Get started

インシデント対応

1. 検出とトリアージ

セキュリティ上の兆候は、以下から得られます。

  • GitHub Security Advisories(GHSA)および非公開の脆弱性報告。
  • 報告に機密性がない場合は、公開の GitHub issue/discussion。
  • 自動化された検出結果:Dependabot、CodeQL、npm アドバイザリ、シークレットスキャン。

初期トリアージ:

  1. 影響を受けるコンポーネント、バージョン、トラスト境界への影響を確認します。
  2. SECURITY.md の対象範囲と対象外の規則に基づき、セキュリティ問題か、ハードニング/対応不要かを分類します。
  3. インシデント担当者が分類に応じて対応します。

2. 深刻度

深刻度 定義
重大 パッケージ/リリース/リポジトリの侵害、実際に進行中の悪用、または影響の大きい制御の奪取やデータ漏えいにつながる、認証なしでのトラスト境界の回避。
限定的な前提条件を必要とする、検証済みのトラスト境界の回避(たとえば、認証済みだが許可されていない影響の大きい操作)、または OpenClaw が管理する機密性の高い認証情報の漏えい。
実用上の影響がある重大なセキュリティ上の弱点。ただし、悪用可能性が限定されているか、相当な前提条件が必要なもの。
多層防御に関する指摘、限定的な範囲のサービス拒否、または実証されたトラスト境界の回避を伴わないハードニング/同等性の不足。

3. 対応

  1. 報告者に受領を通知します(機密性がある場合は非公開で行います)。
  2. サポート対象のリリースと最新の main で再現し、リグレッションを防ぐテストを含むパッチを実装して検証します。
  3. 重大/高:可能な限り迅速に修正版リリースを準備します。
  4. 中/低:通常のリリースフローでパッチを提供し、緩和策のガイダンスを文書化します。

4. 連絡と情報開示

影響を受けるリポジトリの GitHub Security Advisories、修正版のリリースノート/変更履歴、および状況と解決に関する報告者への直接のフォローアップを通じて連絡します。

重大/高のインシデントでは、適切な場合に CVE を発行し、調整された情報開示を行います。リスクの低いハードニングに関する指摘は、影響とユーザーへの露出度に応じて、CVE を発行せずにリリースノートまたはアドバイザリへ記載する場合があります。

5. 復旧とフォローアップ

修正をリリースした後:

  1. CI とリリース成果物で修正措置を検証します。
  2. タイムライン、根本原因、検出上の不足、再発防止計画を含む簡潔な事後レビューを実施します。
  3. ハードニング、テスト、ドキュメントに関するフォローアップタスクを追加し、完了まで追跡します。

関連情報

Was this useful?
On this page

On this page