Get started

Реагирование на инциденты

1. Обнаружение и первичная оценка

Источники сигналов безопасности:

  • Рекомендации GitHub по безопасности (GHSA) и конфиденциальные отчёты об уязвимостях.
  • Публичные задачи и обсуждения на GitHub, если отчёты не содержат конфиденциальных сведений.
  • Автоматизированные сигналы: Dependabot, CodeQL, рекомендации npm по безопасности, сканирование секретов.

Первичная оценка:

  1. Подтвердите затронутый компонент, версию и влияние на границы доверия.
  2. Классифицируйте проблему как уязвимость безопасности либо как усиление защиты/не требующую действий, используя область действия и правила исключений из SECURITY.md.
  3. Ответственный за инцидент принимает соответствующие меры.

2. Серьёзность

Серьёзность Определение
Критическая Компрометация пакета, выпуска или репозитория, активная эксплуатация либо неаутентифицированный обход границы доверия, позволяющий получить высокозначимый контроль или доступ к данным.
Высокая Подтверждённый обход границы доверия, требующий ограниченных предварительных условий (например, аутентифицированное, но неавторизованное действие с серьёзными последствиями), либо раскрытие конфиденциальных учётных данных, принадлежащих OpenClaw.
Средняя Существенный недостаток безопасности с практическими последствиями, но ограниченной возможностью эксплуатации или значительными предварительными условиями.
Низкая Недостатки эшелонированной защиты, узконаправленный отказ в обслуживании либо пробелы в усилении защиты или обеспечении эквивалентности без доказанного обхода границы доверия.

3. Реагирование

  1. Подтвердите автору отчёта его получение (конфиденциально, если отчёт содержит чувствительные сведения).
  2. Воспроизведите проблему в поддерживаемых выпусках и последней версии main, затем реализуйте и проверьте исправление, добавив регрессионные тесты.
  3. Критическая/высокая: подготовьте исправленные выпуски максимально быстро, насколько это практически возможно.
  4. Средняя/низкая: внесите исправление в рамках обычного процесса выпуска и задокументируйте рекомендации по снижению риска.

4. Информирование и раскрытие

Обменивайтесь информацией через GitHub Security Advisories в затронутом репозитории, примечания к выпуску или записи в журнале изменений для исправленных версий, а также напрямую сообщайте автору отчёта о состоянии и результате устранения проблемы.

Для критических инцидентов и инцидентов высокой серьёзности применяется скоординированное раскрытие с присвоением CVE, когда это уместно. Сведения об усилении защиты с низким уровнем риска могут быть опубликованы в примечаниях к выпуску или рекомендациях по безопасности без CVE — в зависимости от последствий и степени воздействия на пользователей.

5. Восстановление и последующие действия

После выпуска исправления:

  1. Проверьте устранение проблем в CI и артефактах выпуска.
  2. Проведите краткий разбор инцидента: хронология, первопричина, недостаток обнаружения, план предотвращения.
  3. Добавьте последующие задачи по усилению защиты, тестированию и документации и отслеживайте их до завершения.

Связанные материалы

Was this useful?
On this page

On this page