Get started
Incidentrespons
1. Detectie en triage
Beveiligingssignalen zijn afkomstig van:
- GitHub Security Advisories (GHSA) en privé gemelde kwetsbaarheden.
- Openbare GitHub-issues/-discussies wanneer meldingen niet gevoelig zijn.
- Geautomatiseerde signalen: Dependabot, CodeQL, npm-beveiligingsadviezen en geheimenscans.
Eerste triage:
- Bevestig het getroffen onderdeel, de versie en de impact op de vertrouwensgrens.
- Classificeer het als een beveiligingsprobleem of als beveiligingsversterking/geen actie, aan de hand van de regels voor binnen en buiten het toepassingsgebied in
SECURITY.md. - Een incidenteigenaar reageert dienovereenkomstig.
2. Ernst
| Ernst | Definitie |
|---|---|
| Kritiek | Compromittering van een pakket, release of repository, actieve uitbuiting of het zonder authenticatie omzeilen van een vertrouwensgrens met ingrijpende controle of blootstelling van gegevens. |
| Hoog | Geverifieerde omzeiling van een vertrouwensgrens waarvoor beperkte voorwaarden gelden (bijvoorbeeld een geauthenticeerde maar niet-geautoriseerde ingrijpende actie), of blootstelling van gevoelige referentiegegevens die eigendom zijn van OpenClaw. |
| Gemiddeld | Aanzienlijke beveiligingszwakte met praktische gevolgen, maar met beperkte mogelijkheden tot uitbuiting of aanzienlijke vereisten. |
| Laag | Bevindingen voor gelaagde beveiliging, nauw afgebakende denial-of-service of tekortkomingen in beveiligingsversterking/pariteit zonder aangetoonde omzeiling van een vertrouwensgrens. |
3. Respons
- Bevestig de ontvangst aan de melder (privé wanneer de melding gevoelig is).
- Reproduceer het probleem op ondersteunde releases en de nieuwste
main, implementeer en valideer vervolgens een patch met regressiedekking. - Kritiek/hoog: bereid zo snel als praktisch mogelijk gepatchte release(s) voor.
- Gemiddeld/laag: pas de patch toe via het normale releaseproces en documenteer richtlijnen voor risicobeperking.
4. Communicatie en openbaarmaking
Communiceer via GitHub Security Advisories in de getroffen repository, releaseopmerkingen/changelogvermeldingen voor gecorrigeerde versies en rechtstreekse opvolging bij de melder over de status en oplossing.
Voor kritieke/hoog-risico-incidenten vindt gecoördineerde openbaarmaking plaats, met uitgifte van een CVE indien van toepassing. Bevindingen over beveiligingsversterking met een laag risico kunnen, afhankelijk van de impact en blootstelling van gebruikers, zonder CVE worden gedocumenteerd in releaseopmerkingen of beveiligingsadviezen.
5. Herstel en opvolging
Na het uitbrengen van de oplossing:
- Verifieer de herstelmaatregelen in CI en releaseartefacten.
- Voer een korte evaluatie na het incident uit: tijdlijn, hoofdoorzaak, tekortkoming in de detectie en preventieplan.
- Voeg opvolgtaken voor beveiligingsversterking, tests en documentatie toe en volg deze tot voltooiing.
Gerelateerd
- Beveiligingsbeleid — toepassingsgebied voor meldingen en vertrouwensmodel.
- Dreigingsmodel
Was this useful?