Get started
Реагування на інциденти
1. Виявлення та первинний аналіз
Сигнали безпеки надходять із таких джерел:
- Рекомендації GitHub щодо безпеки (GHSA) та приватні звіти про вразливості.
- Публічні проблеми й обговорення на GitHub, якщо звіти не містять чутливих відомостей.
- Автоматизовані сигнали: Dependabot, CodeQL, рекомендації npm, сканування секретів.
Початковий аналіз:
- Підтвердьте уражений компонент, версію та вплив на межу довіри.
- Класифікуйте випадок як проблему безпеки або як посилення захисту/ситуацію, що не потребує дій, використовуючи правила щодо сфери дії та винятків із неї, визначені в
SECURITY.md. - Власник інциденту реагує відповідним чином.
2. Рівень серйозності
| Рівень серйозності | Визначення |
|---|---|
| Критичний | Компрометація пакета, випуску чи репозиторію, активна експлуатація або обхід межі довіри без автентифікації, що забезпечує значний контроль чи розкриття даних із серйозними наслідками. |
| Високий | Підтверджений обхід межі довіри, що потребує обмежених передумов (наприклад, автентифікована, але неавторизована дія із серйозними наслідками), або розкриття чутливих облікових даних, що належать OpenClaw. |
| Середній | Значна слабкість безпеки з практичними наслідками, але з обмеженою можливістю експлуатації або суттєвими передумовами. |
| Низький | Виявлені проблеми багаторівневого захисту, вузькоспрямована відмова в обслуговуванні або прогалини в посиленні захисту чи узгодженості без продемонстрованого обходу межі довіри. |
3. Реагування
- Підтвердьте отримання звіту його автору (приватно, якщо інформація чутлива).
- Відтворіть проблему в підтримуваних випусках і найновішій версії
main, а потім реалізуйте й перевірте виправлення з покриттям регресійними тестами. - Критичний/високий рівень: підготуйте виправлені випуски якомога швидше, наскільки це практично можливо.
- Середній/низький рівень: додайте виправлення у звичайний процес випуску та задокументуйте рекомендації щодо зниження ризику.
4. Комунікація та розкриття інформації
Комунікуйте через рекомендації GitHub щодо безпеки у відповідному репозиторії, примітки до випуску або записи в журналі змін для виправлених версій, а також безпосередньо повідомляйте автору звіту про стан і вирішення проблеми.
Для інцидентів критичного/високого рівня застосовується скоординоване розкриття інформації з присвоєнням CVE, коли це доречно. Виявлені проблеми посилення захисту з низьким ризиком можна документувати в примітках до випуску або рекомендаціях без CVE залежно від впливу та ступеня ризику для користувачів.
5. Відновлення та подальші дії
Після випуску виправлення:
- Перевірте усунення проблем у CI та артефактах випуску.
- Проведіть короткий аналіз інциденту: хронологія, першопричина, прогалина у виявленні, план запобігання.
- Додайте подальші завдання з посилення захисту, тестування й документування та відстежуйте їх до завершення.
Пов’язані матеріали
- Політика безпеки — сфера дії звітів і модель довіри.
- Модель загроз
Was this useful?