Get started
Resposta a incidentes
1. Detecção e triagem
Os sinais de segurança vêm de:
- Avisos de segurança do GitHub (GHSA) e relatórios privados de vulnerabilidades.
- Issues/discussões públicas do GitHub quando os relatos não são confidenciais.
- Sinais automatizados: Dependabot, CodeQL, avisos do npm e verificação de segredos.
Triagem inicial:
- Confirme o componente e a versão afetados, bem como o impacto no limite de confiança.
- Classifique como um problema de segurança ou como reforço/nenhuma ação, usando as regras de escopo e de itens fora do escopo do
SECURITY.md. - Um responsável pelo incidente responde conforme apropriado.
2. Severidade
| Severidade | Definição |
|---|---|
| Crítica | Comprometimento de pacote/versão/repositório, exploração ativa ou contorno não autenticado do limite de confiança com controle de alto impacto ou exposição de dados. |
| Alta | Contorno verificado do limite de confiança que exige pré-condições limitadas (por exemplo, uma ação autenticada, mas não autorizada, de alto impacto) ou exposição de credenciais confidenciais do OpenClaw. |
| Média | Vulnerabilidade de segurança significativa com impacto prático, mas com possibilidade de exploração limitada ou pré-requisitos substanciais. |
| Baixa | Constatações de defesa em profundidade, negação de serviço de escopo restrito ou lacunas de reforço/paridade sem um contorno demonstrado do limite de confiança. |
3. Resposta
- Confirme o recebimento ao relator (em particular quando o conteúdo for confidencial).
- Reproduza o problema nas versões com suporte e na
mainmais recente; depois, implemente e valide uma correção com cobertura contra regressões. - Crítica/alta: prepare as versões corrigidas o mais rápido possível.
- Média/baixa: aplique a correção no fluxo normal de lançamento e documente as orientações de mitigação.
4. Comunicação e divulgação
Comunique-se por meio dos Avisos de Segurança do GitHub no repositório afetado, de notas de versão/entradas do registro de alterações das versões corrigidas e do acompanhamento direto com o relator sobre o status e a resolução.
Incidentes de severidade crítica/alta recebem divulgação coordenada, com emissão de CVE quando apropriado. Constatações de reforço de baixo risco podem ser documentadas em notas de versão ou avisos sem um CVE, dependendo do impacto e da exposição dos usuários.
5. Recuperação e acompanhamento
Após disponibilizar a correção:
- Verifique as medidas corretivas na CI e nos artefatos de lançamento.
- Faça uma breve análise pós-incidente: cronologia, causa raiz, lacuna de detecção e plano de prevenção.
- Adicione tarefas de acompanhamento para reforço, testes e documentação e monitore-as até a conclusão.
Relacionados
- Política de segurança — escopo dos relatos e modelo de confiança.
- Modelo de ameaças
Was this useful?