Get started
الاستجابة للحوادث
1. الاكتشاف والفرز
نراقب إشارات الأمان من:
- استشارات GitHub الأمنية (GHSA) وتقارير الثغرات الخاصة.
- مشكلات/مناقشات GitHub العامة عندما لا تكون التقارير حساسة.
- الإشارات المؤتمتة (على سبيل المثال Dependabot وCodeQL واستشارات npm وفحص الأسرار).
الفرز الأولي:
- تأكيد المكوّن والإصدار المتأثرين وتأثير حدود الثقة.
- التصنيف كمسألة أمان مقابل تحسين تحصيني/لا إجراء باستخدام نطاق
SECURITY.mdفي المستودع وقواعد ما هو خارج النطاق. - يستجيب مالك الحادث وفقًا لذلك.
2. التقييم
دليل الشدة:
- حرجة: اختراق الحزمة/الإصدار/المستودع، أو استغلال نشط، أو تجاوز غير مصادق عليه لحدود الثقة مع تحكم عالي التأثير أو كشف بيانات عالي التأثير.
- عالية: تجاوز موثّق لحدود الثقة يتطلب شروطًا مسبقة محدودة (على سبيل المثال إجراء عالي التأثير مصادق عليه لكنه غير مخوّل)، أو كشف بيانات اعتماد حساسة مملوكة لـ OpenClaw.
- متوسطة: ضعف أمني مهم له تأثير عملي لكن قابلية استغلاله مقيدة أو يتطلب متطلبات مسبقة كبيرة.
- منخفضة: نتائج دفاع متعمق، أو حجب خدمة محدود النطاق، أو فجوات تحصين/تكافؤ من دون إثبات تجاوز لحدود الثقة.
3. الاستجابة
- تأكيد استلام التقرير للمبلّغ (بشكل خاص عندما يكون حساسًا).
- إعادة الإنتاج على الإصدارات المدعومة وأحدث
main، ثم تنفيذ تصحيح والتحقق منه مع تغطية تمنع التراجع. - للحوادث الحرجة/العالية، إعداد إصدار أو إصدارات مصححة بأسرع ما هو عملي.
- للحوادث المتوسطة/المنخفضة، التصحيح ضمن مسار الإصدار المعتاد وتوثيق إرشادات التخفيف.
4. التواصل
نتواصل عبر:
- استشارات GitHub الأمنية في المستودع المتأثر.
- ملاحظات الإصدار/إدخالات سجل التغييرات للإصدارات المصححة.
- متابعة مباشرة مع المبلّغ بشأن الحالة والحل.
سياسة الإفصاح:
- يجب أن تخضع الحوادث الحرجة/العالية لإفصاح منسّق، مع إصدار CVE عند الاقتضاء.
- قد تُوثَّق نتائج التحصين منخفضة المخاطر في ملاحظات الإصدار أو الاستشارات من دون CVE، بحسب التأثير وتعرّض المستخدمين.
5. الاسترداد والمتابعة
بعد شحن التصحيح:
- التحقق من المعالجات في CI ومخرجات الإصدار.
- إجراء مراجعة قصيرة لما بعد الحادث (الجدول الزمني، السبب الجذري، فجوة الاكتشاف، خطة الوقاية).
- إضافة مهام متابعة للتحصين/الاختبارات/الوثائق وتتبعها حتى الاكتمال.