Get started
Olay müdahalesi
1. Tespit ve triyaj
Güvenlik sinyalleri şu kaynaklardan gelir:
- GitHub Güvenlik Bildirimleri (GHSA) ve özel güvenlik açığı raporları.
- Raporların hassas olmadığı durumlarda herkese açık GitHub sorunları/tartışmaları.
- Otomatik sinyaller: Dependabot, CodeQL, npm bildirimleri, gizli bilgi taraması.
İlk triyaj:
- Etkilenen bileşeni, sürümü ve güven sınırı üzerindeki etkiyi doğrulayın.
SECURITY.mddosyasındaki kapsam ve kapsam dışı kuralları kullanarak durumu güvenlik sorunu ya da sağlamlaştırma/işlem gerektirmeyen durum olarak sınıflandırın.- Olay sorumlusu buna göre yanıt verir.
2. Önem derecesi
| Önem derecesi | Tanım |
|---|---|
| Kritik | Paket, sürüm veya deponun ele geçirilmesi; etkin istismar; ya da yüksek etkili kontrol veya veri ifşasına yol açan, kimlik doğrulaması gerektirmeyen güven sınırı atlatması. |
| Yüksek | Sınırlı ön koşullar gerektiren doğrulanmış güven sınırı atlatması (örneğin, kimliği doğrulanmış ancak yetkisiz yüksek etkili bir eylem) veya OpenClaw'a ait hassas kimlik bilgilerinin ifşa edilmesi. |
| Orta | Pratik etkisi olan ancak istismar edilebilirliği kısıtlı veya önemli ön koşullar gerektiren kayda değer bir güvenlik zayıflığı. |
| Düşük | Derinlemesine savunma bulguları, dar kapsamlı hizmet reddi veya kanıtlanmış bir güven sınırı atlatması bulunmayan sağlamlaştırma/eşdeğerlik eksiklikleri. |
3. Müdahale
- Raporun alındığını raportöre bildirin (hassas olduğunda özel olarak).
- Desteklenen sürümlerde ve en son
mainüzerinde sorunu yeniden üretin; ardından regresyon kapsamıyla birlikte bir yama uygulayıp doğrulayın. - Kritik/yüksek: Yamalanmış sürümleri mümkün olan en kısa sürede hazırlayın.
- Orta/düşük: Normal sürüm akışında yamalayın ve azaltma yönergelerini belgelendirin.
4. İletişim ve açıklama
Etkilenen depodaki GitHub Güvenlik Bildirimleri, düzeltilen sürümlere ait sürüm notları/değişiklik günlüğü girdileri ve durum ile çözüm hakkında raportöre doğrudan geri bildirim yoluyla iletişim kurun.
Kritik/yüksek önem dereceli olaylar, uygun olduğunda CVE yayımlanmasıyla birlikte koordineli olarak açıklanır. Düşük riskli sağlamlaştırma bulguları, etkiye ve kullanıcıların maruz kalma düzeyine bağlı olarak CVE olmadan sürüm notlarında veya bildirimlerde belgelenebilir.
5. Kurtarma ve takip
Düzeltme yayımlandıktan sonra:
- Düzeltici önlemleri CI'da ve sürüm yapıtlarında doğrulayın.
- Kısa bir olay sonrası inceleme gerçekleştirin: zaman çizelgesi, temel neden, tespit eksikliği, önleme planı.
- Takip niteliğindeki sağlamlaştırma/test/dokümantasyon görevlerini ekleyin ve tamamlanana kadar izleyin.
İlgili
- Güvenlik politikası — rapor kapsamı ve güven modeli.
- Tehdit modeli
Was this useful?