Get started
事件回應
1. 偵測與分流處理
安全性訊號來自:
- GitHub 安全公告(GHSA)與私人漏洞報告。
- 報告不涉及敏感資訊時,使用公開的 GitHub 議題/討論。
- 自動化訊號:Dependabot、CodeQL、npm 公告、機密掃描。
初步分流處理:
- 確認受影響的元件、版本,以及對信任邊界的影響。
- 使用
SECURITY.md的範圍與範圍外規則,將其分類為安全性問題或強化/無須處理。 - 由事件負責人採取相應處置。
2. 嚴重性
| 嚴重性 | 定義 |
|---|---|
| 嚴重 | 套件/版本發布/儲存庫遭入侵、遭主動利用,或未經驗證即繞過信任邊界,導致高影響控制權或資料暴露。 |
| 高 | 已驗證的信任邊界繞過,且僅需有限的先決條件(例如,已驗證身分但未獲授權即可執行高影響操作),或 OpenClaw 所擁有的敏感憑證遭暴露。 |
| 中 | 具有實際影響的重大安全性弱點,但可利用性受限或需要大量先決條件。 |
| 低 | 縱深防禦發現、範圍有限的阻斷服務,或未證實存在信任邊界繞過的強化/一致性缺口。 |
3. 回應
- 向報告者確認已收到報告(涉及敏感資訊時私下回覆)。
- 在受支援的發布版本與最新的
main上重現問題,接著實作並驗證修補程式,且納入迴歸測試。 - 嚴重/高:在實務可行範圍內儘速準備修補後的發布版本。
- 中/低:依正常發布流程修補,並記錄緩解措施指引。
4. 溝通與揭露
透過受影響儲存庫中的 GitHub 安全公告、已修正版本的版本資訊/變更日誌項目,以及直接向報告者追蹤狀態與解決情況來進行溝通。
嚴重/高嚴重性事件採取協調揭露,並在適當時申請 CVE。低風險的安全性強化發現可依影響與使用者暴露程度,記錄於版本資訊或安全公告中,而不申請 CVE。
5. 復原與後續追蹤
發布修正後:
- 在 CI 與發布成品中驗證修復措施。
- 進行簡短的事件後檢討:時間軸、根本原因、偵測缺口、預防計畫。
- 新增後續的安全性強化/測試/文件工作,並持續追蹤至完成。
相關內容
Was this useful?