Get started
การตอบสนองต่อเหตุการณ์
1. การตรวจจับและการคัดแยกเบื้องต้น
สัญญาณด้านความปลอดภัยมาจาก:
- คำแนะนำด้านความปลอดภัยของ GitHub (GHSA) และรายงานช่องโหว่แบบส่วนตัว
- ปัญหา/การอภิปรายสาธารณะบน GitHub เมื่อรายงานไม่มีข้อมูลละเอียดอ่อน
- สัญญาณอัตโนมัติ: Dependabot, CodeQL, คำแนะนำด้านความปลอดภัยของ npm และการสแกนข้อมูลลับ
การคัดแยกเบื้องต้น:
- ยืนยันคอมโพเนนต์และเวอร์ชันที่ได้รับผลกระทบ รวมถึงผลกระทบต่อขอบเขตความเชื่อถือ
- จำแนกว่าเป็นปัญหาด้านความปลอดภัยหรือเป็นการเสริมความแข็งแกร่ง/ไม่ต้องดำเนินการ โดยใช้กฎขอบเขตและสิ่งที่อยู่นอกขอบเขตใน
SECURITY.md - ผู้รับผิดชอบเหตุการณ์ดำเนินการตอบสนองตามความเหมาะสม
2. ระดับความรุนแรง
| ระดับความรุนแรง | คำจำกัดความ |
|---|---|
| วิกฤต | แพ็กเกจ/รุ่นเผยแพร่/ที่เก็บถูกยึดครอง มีการโจมตีที่กำลังเกิดขึ้น หรือมีการข้ามขอบเขตความเชื่อถือโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งทำให้สามารถควบคุมสิ่งที่มีผลกระทบสูงหรือเปิดเผยข้อมูลได้ |
| สูง | มีการยืนยันว่าข้ามขอบเขตความเชื่อถือได้โดยต้องมีเงื่อนไขเบื้องต้นเพียงเล็กน้อย (ตัวอย่างเช่น ผ่านการยืนยันตัวตนแล้วแต่ไม่ได้รับอนุญาตให้ดำเนินการที่มีผลกระทบสูง) หรือมีการเปิดเผยข้อมูลประจำตัวที่ละเอียดอ่อนซึ่ง OpenClaw เป็นเจ้าของ |
| ปานกลาง | จุดอ่อนด้านความปลอดภัยที่มีนัยสำคัญและส่งผลกระทบได้จริง แต่ความสามารถในการโจมตีมีข้อจำกัดหรือต้องมีเงื่อนไขเบื้องต้นจำนวนมาก |
| ต่ำ | ข้อค้นพบด้านการป้องกันเชิงลึก การปฏิเสธการให้บริการที่มีขอบเขตจำกัด หรือช่องว่างด้านการเสริมความแข็งแกร่ง/ความเท่าเทียมของการทำงาน โดยไม่มีหลักฐานว่าเกิดการข้ามขอบเขตความเชื่อถือ |
3. การตอบสนอง
- แจ้งผู้รายงานว่าได้รับรายงานแล้ว (แจ้งแบบส่วนตัวเมื่อมีข้อมูลละเอียดอ่อน)
- ทำซ้ำปัญหาบนรุ่นที่รองรับและ
mainล่าสุด จากนั้นนำแพตช์ไปใช้และตรวจสอบความถูกต้อง พร้อมเพิ่มการครอบคลุมการทดสอบเพื่อป้องกันปัญหาเกิดซ้ำ - วิกฤต/สูง: จัดเตรียมรุ่นที่แก้ไขแล้วให้เร็วที่สุดเท่าที่ทำได้ในทางปฏิบัติ
- ปานกลาง/ต่ำ: แก้ไขตามกระบวนการเผยแพร่ปกติและจัดทำเอกสารแนวทางการบรรเทาผลกระทบ
4. การสื่อสารและการเปิดเผยข้อมูล
สื่อสารผ่านคำแนะนำด้านความปลอดภัยของ GitHub ในที่เก็บที่ได้รับผลกระทบ หมายเหตุประจำรุ่น/รายการบันทึกการเปลี่ยนแปลงสำหรับเวอร์ชันที่แก้ไขแล้ว และติดตามแจ้งสถานะกับผู้รายงานโดยตรงจนถึงการแก้ไขเสร็จสิ้น
เหตุการณ์ระดับวิกฤต/สูงต้องเปิดเผยข้อมูลโดยประสานงานกัน และออก CVE ตามความเหมาะสม ข้อค้นพบด้านการเสริมความแข็งแกร่งที่มีความเสี่ยงต่ำอาจระบุไว้ในหมายเหตุประจำรุ่นหรือคำแนะนำด้านความปลอดภัยโดยไม่มี CVE ทั้งนี้ขึ้นอยู่กับผลกระทบและระดับการเปิดรับความเสี่ยงของผู้ใช้
5. การกู้คืนและการติดตามผล
หลังจากเผยแพร่การแก้ไขแล้ว:
- ตรวจสอบยืนยันการแก้ไขใน CI และอาร์ติแฟกต์ของรุ่นเผยแพร่
- ดำเนินการทบทวนหลังเหตุการณ์โดยสรุป: ลำดับเหตุการณ์ สาเหตุราก ช่องว่างในการตรวจจับ และแผนป้องกัน
- เพิ่มงานติดตามผลด้านการเสริมความแข็งแกร่ง/การทดสอบ/เอกสาร และติดตามจนเสร็จสมบูรณ์
เนื้อหาที่เกี่ยวข้อง
- นโยบายความปลอดภัย — ขอบเขตการรายงานและโมเดลความเชื่อถือ
- โมเดลภัยคุกคาม
Was this useful?