Get started
Реагирование на инциденты
1. Обнаружение и первичная оценка
Источники сигналов безопасности:
- Рекомендации GitHub по безопасности (GHSA) и конфиденциальные отчёты об уязвимостях.
- Публичные задачи и обсуждения на GitHub, если отчёты не содержат конфиденциальных сведений.
- Автоматизированные сигналы: Dependabot, CodeQL, рекомендации npm по безопасности, сканирование секретов.
Первичная оценка:
- Подтвердите затронутый компонент, версию и влияние на границы доверия.
- Классифицируйте проблему как уязвимость безопасности либо как усиление защиты/не требующую действий, используя область действия и правила исключений из
SECURITY.md. - Ответственный за инцидент принимает соответствующие меры.
2. Серьёзность
| Серьёзность | Определение |
|---|---|
| Критическая | Компрометация пакета, выпуска или репозитория, активная эксплуатация либо неаутентифицированный обход границы доверия, позволяющий получить высокозначимый контроль или доступ к данным. |
| Высокая | Подтверждённый обход границы доверия, требующий ограниченных предварительных условий (например, аутентифицированное, но неавторизованное действие с серьёзными последствиями), либо раскрытие конфиденциальных учётных данных, принадлежащих OpenClaw. |
| Средняя | Существенный недостаток безопасности с практическими последствиями, но ограниченной возможностью эксплуатации или значительными предварительными условиями. |
| Низкая | Недостатки эшелонированной защиты, узконаправленный отказ в обслуживании либо пробелы в усилении защиты или обеспечении эквивалентности без доказанного обхода границы доверия. |
3. Реагирование
- Подтвердите автору отчёта его получение (конфиденциально, если отчёт содержит чувствительные сведения).
- Воспроизведите проблему в поддерживаемых выпусках и последней версии
main, затем реализуйте и проверьте исправление, добавив регрессионные тесты. - Критическая/высокая: подготовьте исправленные выпуски максимально быстро, насколько это практически возможно.
- Средняя/низкая: внесите исправление в рамках обычного процесса выпуска и задокументируйте рекомендации по снижению риска.
4. Информирование и раскрытие
Обменивайтесь информацией через GitHub Security Advisories в затронутом репозитории, примечания к выпуску или записи в журнале изменений для исправленных версий, а также напрямую сообщайте автору отчёта о состоянии и результате устранения проблемы.
Для критических инцидентов и инцидентов высокой серьёзности применяется скоординированное раскрытие с присвоением CVE, когда это уместно. Сведения об усилении защиты с низким уровнем риска могут быть опубликованы в примечаниях к выпуску или рекомендациях по безопасности без CVE — в зависимости от последствий и степени воздействия на пользователей.
5. Восстановление и последующие действия
После выпуска исправления:
- Проверьте устранение проблем в CI и артефактах выпуска.
- Проведите краткий разбор инцидента: хронология, первопричина, недостаток обнаружения, план предотвращения.
- Добавьте последующие задачи по усилению защиты, тестированию и документации и отслеживайте их до завершения.
Связанные материалы
- Политика безопасности — область действия отчётов и модель доверия.
- Модель угроз
Was this useful?