Get started
インシデント対応
1. 検出とトリアージ
セキュリティ上の兆候は、以下から得られます。
- GitHub Security Advisories(GHSA)および非公開の脆弱性報告。
- 報告に機密性がない場合は、公開の GitHub issue/discussion。
- 自動化された検出結果:Dependabot、CodeQL、npm アドバイザリ、シークレットスキャン。
初期トリアージ:
- 影響を受けるコンポーネント、バージョン、トラスト境界への影響を確認します。
SECURITY.mdの対象範囲と対象外の規則に基づき、セキュリティ問題か、ハードニング/対応不要かを分類します。- インシデント担当者が分類に応じて対応します。
2. 深刻度
| 深刻度 | 定義 |
|---|---|
| 重大 | パッケージ/リリース/リポジトリの侵害、実際に進行中の悪用、または影響の大きい制御の奪取やデータ漏えいにつながる、認証なしでのトラスト境界の回避。 |
| 高 | 限定的な前提条件を必要とする、検証済みのトラスト境界の回避(たとえば、認証済みだが許可されていない影響の大きい操作)、または OpenClaw が管理する機密性の高い認証情報の漏えい。 |
| 中 | 実用上の影響がある重大なセキュリティ上の弱点。ただし、悪用可能性が限定されているか、相当な前提条件が必要なもの。 |
| 低 | 多層防御に関する指摘、限定的な範囲のサービス拒否、または実証されたトラスト境界の回避を伴わないハードニング/同等性の不足。 |
3. 対応
- 報告者に受領を通知します(機密性がある場合は非公開で行います)。
- サポート対象のリリースと最新の
mainで再現し、リグレッションを防ぐテストを含むパッチを実装して検証します。 - 重大/高:可能な限り迅速に修正版リリースを準備します。
- 中/低:通常のリリースフローでパッチを提供し、緩和策のガイダンスを文書化します。
4. 連絡と情報開示
影響を受けるリポジトリの GitHub Security Advisories、修正版のリリースノート/変更履歴、および状況と解決に関する報告者への直接のフォローアップを通じて連絡します。
重大/高のインシデントでは、適切な場合に CVE を発行し、調整された情報開示を行います。リスクの低いハードニングに関する指摘は、影響とユーザーへの露出度に応じて、CVE を発行せずにリリースノートまたはアドバイザリへ記載する場合があります。
5. 復旧とフォローアップ
修正をリリースした後:
- CI とリリース成果物で修正措置を検証します。
- タイムライン、根本原因、検出上の不足、再発防止計画を含む簡潔な事後レビューを実施します。
- ハードニング、テスト、ドキュメントに関するフォローアップタスクを追加し、完了まで追跡します。
関連情報
- セキュリティポリシー — 報告の対象範囲とトラストモデル。
- 脅威モデル
Was this useful?