Get started

事件回應

1. 偵測與分流處理

安全性訊號來自:

  • GitHub 安全公告(GHSA)與私人漏洞報告。
  • 報告不涉及敏感資訊時,使用公開的 GitHub 議題/討論。
  • 自動化訊號:Dependabot、CodeQL、npm 公告、機密掃描。

初步分流處理:

  1. 確認受影響的元件、版本,以及對信任邊界的影響。
  2. 使用 SECURITY.md 的範圍與範圍外規則,將其分類為安全性問題或強化/無須處理。
  3. 由事件負責人採取相應處置。

2. 嚴重性

嚴重性 定義
嚴重 套件/版本發布/儲存庫遭入侵、遭主動利用,或未經驗證即繞過信任邊界,導致高影響控制權或資料暴露。
已驗證的信任邊界繞過,且僅需有限的先決條件(例如,已驗證身分但未獲授權即可執行高影響操作),或 OpenClaw 所擁有的敏感憑證遭暴露。
具有實際影響的重大安全性弱點,但可利用性受限或需要大量先決條件。
縱深防禦發現、範圍有限的阻斷服務,或未證實存在信任邊界繞過的強化/一致性缺口。

3. 回應

  1. 向報告者確認已收到報告(涉及敏感資訊時私下回覆)。
  2. 在受支援的發布版本與最新的 main 上重現問題,接著實作並驗證修補程式,且納入迴歸測試。
  3. 嚴重/高:在實務可行範圍內儘速準備修補後的發布版本。
  4. 中/低:依正常發布流程修補,並記錄緩解措施指引。

4. 溝通與揭露

透過受影響儲存庫中的 GitHub 安全公告、已修正版本的版本資訊/變更日誌項目,以及直接向報告者追蹤狀態與解決情況來進行溝通。

嚴重/高嚴重性事件採取協調揭露,並在適當時申請 CVE。低風險的安全性強化發現可依影響與使用者暴露程度,記錄於版本資訊或安全公告中,而不申請 CVE。

5. 復原與後續追蹤

發布修正後:

  1. 在 CI 與發布成品中驗證修復措施。
  2. 進行簡短的事件後檢討:時間軸、根本原因、偵測缺口、預防計畫。
  3. 新增後續的安全性強化/測試/文件工作,並持續追蹤至完成。

相關內容

Was this useful?
On this page

On this page