Get started
事件應變
1. 偵測與分流
安全訊號來源包括:
- GitHub Security Advisories(GHSA)與私人漏洞報告。
- 報告不具敏感性時的公開 GitHub issue/討論。
- 自動化訊號:Dependabot、CodeQL、npm advisories、secret scanning。
初始分流:
- 確認受影響的元件、版本與信任邊界影響。
- 依據
SECURITY.md的範圍與排除範圍規則,分類為安全問題或強化/不需處理。 - 事件負責人據此回應。
2. 嚴重性
| 嚴重性 | 定義 |
|---|---|
| 嚴重 | 套件/發行版/儲存庫遭入侵、正在被主動利用,或未經驗證的信任邊界繞過,並造成高影響的控制權或資料暴露。 |
| 高 | 已驗證的信任邊界繞過,需有限前提條件(例如,已驗證但未授權的高影響動作),或暴露 OpenClaw 擁有的敏感憑證。 |
| 中 | 具有實際影響的重大安全弱點,但可利用性受限或需要大量前置條件。 |
| 低 | 深度防禦發現、範圍狹窄的阻斷服務,或未證明存在信任邊界繞過的強化/一致性缺口。 |
3. 回應
- 向報告者確認收到(敏感事項以私人方式進行)。
- 在支援的發行版與最新
main上重現,接著實作並驗證修補程式,並加入回歸涵蓋。 - 嚴重/高:盡快準備修補後的發行版。
- 中/低:在正常發行流程中修補,並記錄緩解指引。
4. 溝通與揭露
透過受影響儲存庫中的 GitHub Security Advisories、已修復版本的 release notes/changelog entries,以及直接向報告者追蹤狀態與解決情況來溝通。
嚴重/高事件會進行協調式揭露,並在適當時發布 CVE。低風險強化發現可依影響與使用者暴露程度,記錄於 release notes 或 advisories,而不發布 CVE。
5. 復原與後續追蹤
修復發布後:
- 在 CI 與發行成品中驗證補救措施。
- 進行簡短的事件後檢討:時間軸、根本原因、偵測缺口、預防計畫。
- 新增後續強化/測試/文件任務,並追蹤至完成。
相關
Was this useful?