Get started

การตอบสนองต่อเหตุการณ์

1. การตรวจจับและการคัดแยกเบื้องต้น

สัญญาณด้านความปลอดภัยมาจาก:

  • คำแนะนำด้านความปลอดภัยของ GitHub (GHSA) และรายงานช่องโหว่แบบส่วนตัว
  • ปัญหา/การอภิปรายสาธารณะบน GitHub เมื่อรายงานไม่มีข้อมูลละเอียดอ่อน
  • สัญญาณอัตโนมัติ: Dependabot, CodeQL, คำแนะนำด้านความปลอดภัยของ npm และการสแกนข้อมูลลับ

การคัดแยกเบื้องต้น:

  1. ยืนยันคอมโพเนนต์และเวอร์ชันที่ได้รับผลกระทบ รวมถึงผลกระทบต่อขอบเขตความเชื่อถือ
  2. จำแนกว่าเป็นปัญหาด้านความปลอดภัยหรือเป็นการเสริมความแข็งแกร่ง/ไม่ต้องดำเนินการ โดยใช้กฎขอบเขตและสิ่งที่อยู่นอกขอบเขตใน SECURITY.md
  3. ผู้รับผิดชอบเหตุการณ์ดำเนินการตอบสนองตามความเหมาะสม

2. ระดับความรุนแรง

ระดับความรุนแรง คำจำกัดความ
วิกฤต แพ็กเกจ/รุ่นเผยแพร่/ที่เก็บถูกยึดครอง มีการโจมตีที่กำลังเกิดขึ้น หรือมีการข้ามขอบเขตความเชื่อถือโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งทำให้สามารถควบคุมสิ่งที่มีผลกระทบสูงหรือเปิดเผยข้อมูลได้
สูง มีการยืนยันว่าข้ามขอบเขตความเชื่อถือได้โดยต้องมีเงื่อนไขเบื้องต้นเพียงเล็กน้อย (ตัวอย่างเช่น ผ่านการยืนยันตัวตนแล้วแต่ไม่ได้รับอนุญาตให้ดำเนินการที่มีผลกระทบสูง) หรือมีการเปิดเผยข้อมูลประจำตัวที่ละเอียดอ่อนซึ่ง OpenClaw เป็นเจ้าของ
ปานกลาง จุดอ่อนด้านความปลอดภัยที่มีนัยสำคัญและส่งผลกระทบได้จริง แต่ความสามารถในการโจมตีมีข้อจำกัดหรือต้องมีเงื่อนไขเบื้องต้นจำนวนมาก
ต่ำ ข้อค้นพบด้านการป้องกันเชิงลึก การปฏิเสธการให้บริการที่มีขอบเขตจำกัด หรือช่องว่างด้านการเสริมความแข็งแกร่ง/ความเท่าเทียมของการทำงาน โดยไม่มีหลักฐานว่าเกิดการข้ามขอบเขตความเชื่อถือ

3. การตอบสนอง

  1. แจ้งผู้รายงานว่าได้รับรายงานแล้ว (แจ้งแบบส่วนตัวเมื่อมีข้อมูลละเอียดอ่อน)
  2. ทำซ้ำปัญหาบนรุ่นที่รองรับและ main ล่าสุด จากนั้นนำแพตช์ไปใช้และตรวจสอบความถูกต้อง พร้อมเพิ่มการครอบคลุมการทดสอบเพื่อป้องกันปัญหาเกิดซ้ำ
  3. วิกฤต/สูง: จัดเตรียมรุ่นที่แก้ไขแล้วให้เร็วที่สุดเท่าที่ทำได้ในทางปฏิบัติ
  4. ปานกลาง/ต่ำ: แก้ไขตามกระบวนการเผยแพร่ปกติและจัดทำเอกสารแนวทางการบรรเทาผลกระทบ

4. การสื่อสารและการเปิดเผยข้อมูล

สื่อสารผ่านคำแนะนำด้านความปลอดภัยของ GitHub ในที่เก็บที่ได้รับผลกระทบ หมายเหตุประจำรุ่น/รายการบันทึกการเปลี่ยนแปลงสำหรับเวอร์ชันที่แก้ไขแล้ว และติดตามแจ้งสถานะกับผู้รายงานโดยตรงจนถึงการแก้ไขเสร็จสิ้น

เหตุการณ์ระดับวิกฤต/สูงต้องเปิดเผยข้อมูลโดยประสานงานกัน และออก CVE ตามความเหมาะสม ข้อค้นพบด้านการเสริมความแข็งแกร่งที่มีความเสี่ยงต่ำอาจระบุไว้ในหมายเหตุประจำรุ่นหรือคำแนะนำด้านความปลอดภัยโดยไม่มี CVE ทั้งนี้ขึ้นอยู่กับผลกระทบและระดับการเปิดรับความเสี่ยงของผู้ใช้

5. การกู้คืนและการติดตามผล

หลังจากเผยแพร่การแก้ไขแล้ว:

  1. ตรวจสอบยืนยันการแก้ไขใน CI และอาร์ติแฟกต์ของรุ่นเผยแพร่
  2. ดำเนินการทบทวนหลังเหตุการณ์โดยสรุป: ลำดับเหตุการณ์ สาเหตุราก ช่องว่างในการตรวจจับ และแผนป้องกัน
  3. เพิ่มงานติดตามผลด้านการเสริมความแข็งแกร่ง/การทดสอบ/เอกสาร และติดตามจนเสร็จสมบูรณ์

เนื้อหาที่เกี่ยวข้อง

Was this useful?
On this page

On this page