Get started

Реагування на інциденти

1. Виявлення та первинний аналіз

Сигнали безпеки надходять із таких джерел:

  • Рекомендації GitHub щодо безпеки (GHSA) та приватні звіти про вразливості.
  • Публічні проблеми й обговорення на GitHub, якщо звіти не містять чутливих відомостей.
  • Автоматизовані сигнали: Dependabot, CodeQL, рекомендації npm, сканування секретів.

Початковий аналіз:

  1. Підтвердьте уражений компонент, версію та вплив на межу довіри.
  2. Класифікуйте випадок як проблему безпеки або як посилення захисту/ситуацію, що не потребує дій, використовуючи правила щодо сфери дії та винятків із неї, визначені в SECURITY.md.
  3. Власник інциденту реагує відповідним чином.

2. Рівень серйозності

Рівень серйозності Визначення
Критичний Компрометація пакета, випуску чи репозиторію, активна експлуатація або обхід межі довіри без автентифікації, що забезпечує значний контроль чи розкриття даних із серйозними наслідками.
Високий Підтверджений обхід межі довіри, що потребує обмежених передумов (наприклад, автентифікована, але неавторизована дія із серйозними наслідками), або розкриття чутливих облікових даних, що належать OpenClaw.
Середній Значна слабкість безпеки з практичними наслідками, але з обмеженою можливістю експлуатації або суттєвими передумовами.
Низький Виявлені проблеми багаторівневого захисту, вузькоспрямована відмова в обслуговуванні або прогалини в посиленні захисту чи узгодженості без продемонстрованого обходу межі довіри.

3. Реагування

  1. Підтвердьте отримання звіту його автору (приватно, якщо інформація чутлива).
  2. Відтворіть проблему в підтримуваних випусках і найновішій версії main, а потім реалізуйте й перевірте виправлення з покриттям регресійними тестами.
  3. Критичний/високий рівень: підготуйте виправлені випуски якомога швидше, наскільки це практично можливо.
  4. Середній/низький рівень: додайте виправлення у звичайний процес випуску та задокументуйте рекомендації щодо зниження ризику.

4. Комунікація та розкриття інформації

Комунікуйте через рекомендації GitHub щодо безпеки у відповідному репозиторії, примітки до випуску або записи в журналі змін для виправлених версій, а також безпосередньо повідомляйте автору звіту про стан і вирішення проблеми.

Для інцидентів критичного/високого рівня застосовується скоординоване розкриття інформації з присвоєнням CVE, коли це доречно. Виявлені проблеми посилення захисту з низьким ризиком можна документувати в примітках до випуску або рекомендаціях без CVE залежно від впливу та ступеня ризику для користувачів.

5. Відновлення та подальші дії

Після випуску виправлення:

  1. Перевірте усунення проблем у CI та артефактах випуску.
  2. Проведіть короткий аналіз інциденту: хронологія, першопричина, прогалина у виявленні, план запобігання.
  3. Додайте подальші завдання з посилення захисту, тестування й документування та відстежуйте їх до завершення.

Пов’язані матеріали

Was this useful?
On this page

On this page