Керівництво спільноти щодо реагування на інциденти

Вразливості безпеки повинні оброблятися швидко та іноді приватно. Основна мета цього процесу — зменшити загальний час, протягом якого користувачі вразливі до відомих експлойтів.

Відповідні адміністратори репозиторію OpenTelemetry, за підтримки Security SIG та Технічного комітету OpenTelemetry (TC), відповідають за реагування на інцидент, включаючи внутрішню комунікацію та зовнішнє розкриття інформації.

Підтримувані версії

Проєкт OTel надає підтримку спільноти лише для останньої загальної мінорної версії: виправлення помилок випускаються або як частина наступної мінорної версії, або як патч-версія на вимогу. Незалежно від того, яка версія буде наступною, всі патч-версії є кумулятивними, тобто вони представляють стан нашої гілки main на момент випуску. Наприклад, якщо остання версія — 0.10.0, виправлення помилок випускаються або як частина 0.11.0, або 0.10.1.

Виправлення безпеки мають пріоритет і можуть бути достатніми для випуску нової версії. Кожен репозиторій має право встановлювати свої власні додаткові процеси. SIG Security разом з TC можуть надати консультації у разі необхідності розʼяснень.

Процес звітування — для осіб, які повідомляють про вразливості

Методи звітування

Щоб звіти про уразливості досягали підтримувачів якомога швидше, переважний спосіб — використовувати кнопку Report a vulnerability на вкладці Security у відповідному репозиторії GitHub. Це створює приватний канал звʼязку між репортером та підтримувачами.

Якщо ви не можете або маєте вагомих причини не використовувати робочий процес повідомлення GitHub, зверніться до security@opentelemetry.io, і ми надамо інструкції щодо того, як повідомити про вразливість.

Повідомлення повинні бути підтверджені протягом 3 робочих днів.

Будь ласка, уникайте повідомлення про будь-які вразливості у вигляді Тікетів на GitHub.

З огляду на публічну видимість тікетів GitHub, повідомлення про вразливість у вигляді тікета на GitHub буде публічним розкриттям інформації. Якщо це сталося випадково або ви помітили вразливість, про яку повідомлено таким чином, будь ласка, негайно повідомте про вразливість за допомогою функції «Повідомити про вразливість» і зазначте публічне розкриття інформації як частину цього повідомлення. Ви можете попросити GitHub видалити тікет, але це не слід вважати достатнім заходом для зменшення ризику, і вразливість слід вважати публічно розкритою.

Непублічні вразливості

Якщо вразливість не є загальновідомою або не була оприлюднена, адміністратори репозиторію вживатимуть відповідних заходів, а особа, яка повідомила про вразливість, повинна дотримуватися періоду ембарго, протягом якого інформація про вразливість залишатиметься конфіденційною доти, доки не буде випущено виправлення та оприлюднено інформацію у встановленому порядку. Якщо особа, яка повідомила про вразливість, має необхідність оприлюднити інформацію про вразливість, наприклад, для конференції з питань безпеки або з інших причин, вона повинна узгодити дату оприлюднення з адміністраторами, які виправляють вразливість. Адміністратори репозиторію в будь-якому випадку докладуть усіх зусиль, щоб швидко провести процес виправлення та випуску.

Публічно відомі вразливості

Якщо ви виявите не повідомлену публічно розкриту/відому вразливість, будь ласка, НЕГАЙНО використовуйте вищезазначені методи звітування, щоб повідомити команду про вразливість, щоб вони могли розпочати процес створення латки, випуску та комунікації. Будь ласка, надайте будь-яку відповідну інформацію про поточні публічні експлуатації цієї вразливості, якщо вона відома, щоб допомогти з оцінкою та пріоритизацією.

Додаткова інформація

Для отримання додаткової інформації, будь ласка, дивіться документацію SIG безпеки на GitHub.