Get started
Ứng phó sự cố
1. Phát hiện và phân loại
Các tín hiệu bảo mật đến từ:
- Cảnh báo bảo mật GitHub (GHSA) và báo cáo lỗ hổng riêng tư.
- Vấn đề/thảo luận công khai trên GitHub khi báo cáo không chứa thông tin nhạy cảm.
- Tín hiệu tự động: Dependabot, CodeQL, cảnh báo npm, quét thông tin bí mật.
Phân loại ban đầu:
- Xác nhận thành phần và phiên bản bị ảnh hưởng, cũng như tác động đến ranh giới tin cậy.
- Phân loại là sự cố bảo mật hay trường hợp tăng cường bảo mật/không cần hành động, dựa trên các quy tắc về phạm vi và ngoài phạm vi trong
SECURITY.md. - Người phụ trách sự cố phản hồi tương ứng.
2. Mức độ nghiêm trọng
| Mức độ | Định nghĩa |
|---|---|
| Nghiêm trọng | Gói/bản phát hành/kho lưu trữ bị xâm phạm, đang bị khai thác chủ động hoặc ranh giới tin cậy bị vượt qua mà không cần xác thực, cho phép kiểm soát có tác động lớn hoặc làm lộ dữ liệu. |
| Cao | Đã xác minh việc vượt qua ranh giới tin cậy với các điều kiện tiên quyết hạn chế (ví dụ: đã xác thực nhưng thực hiện hành động có tác động lớn mà không được cấp quyền), hoặc làm lộ thông tin xác thực nhạy cảm do OpenClaw quản lý. |
| Trung bình | Điểm yếu bảo mật đáng kể có tác động thực tế nhưng khả năng khai thác bị hạn chế hoặc đòi hỏi nhiều điều kiện tiên quyết. |
| Thấp | Phát hiện thuộc lớp phòng vệ chiều sâu, từ chối dịch vụ trong phạm vi hẹp hoặc thiếu sót về tăng cường bảo mật/tính tương đương mà chưa chứng minh được việc vượt qua ranh giới tin cậy. |
3. Ứng phó
- Xác nhận đã nhận báo cáo với người báo cáo (trao đổi riêng khi có thông tin nhạy cảm).
- Tái hiện trên các bản phát hành được hỗ trợ và
mainmới nhất, sau đó triển khai và xác thực bản vá với phạm vi kiểm thử hồi quy. - Mức nghiêm trọng/cao: chuẩn bị các bản phát hành đã vá nhanh nhất có thể trong thực tế.
- Mức trung bình/thấp: đưa bản vá vào quy trình phát hành thông thường và ghi lại hướng dẫn giảm thiểu.
4. Truyền thông và công bố
Trao đổi thông qua Cảnh báo bảo mật GitHub trong kho lưu trữ bị ảnh hưởng, ghi chú phát hành/mục nhật ký thay đổi cho các phiên bản đã sửa và liên hệ trực tiếp với người báo cáo về trạng thái và kết quả xử lý.
Các sự cố mức nghiêm trọng/cao được công bố có phối hợp và cấp CVE khi phù hợp. Các phát hiện tăng cường bảo mật có rủi ro thấp có thể được ghi lại trong ghi chú phát hành hoặc cảnh báo mà không cần CVE, tùy theo tác động và mức độ ảnh hưởng đến người dùng.
5. Khôi phục và theo dõi
Sau khi phát hành bản sửa lỗi:
- Xác minh các biện pháp khắc phục trong CI và các tạo phẩm phát hành.
- Thực hiện đánh giá ngắn sau sự cố: dòng thời gian, nguyên nhân gốc rễ, thiếu sót trong phát hiện và kế hoạch phòng ngừa.
- Bổ sung các tác vụ tăng cường bảo mật/kiểm thử/tài liệu tiếp theo và theo dõi cho đến khi hoàn tất.
Liên quan
- Chính sách bảo mật — phạm vi báo cáo và mô hình tin cậy.
- Mô hình mối đe dọa
Was this useful?