Get started

事件應變

1. 偵測與分流

安全訊號來源包括:

  • GitHub Security Advisories(GHSA)與私人漏洞報告。
  • 報告不具敏感性時的公開 GitHub issue/討論。
  • 自動化訊號:Dependabot、CodeQL、npm advisories、secret scanning。

初始分流:

  1. 確認受影響的元件、版本與信任邊界影響。
  2. 依據 SECURITY.md 的範圍與排除範圍規則,分類為安全問題或強化/不需處理。
  3. 事件負責人據此回應。

2. 嚴重性

嚴重性 定義
嚴重 套件/發行版/儲存庫遭入侵、正在被主動利用,或未經驗證的信任邊界繞過,並造成高影響的控制權或資料暴露。
已驗證的信任邊界繞過,需有限前提條件(例如,已驗證但未授權的高影響動作),或暴露 OpenClaw 擁有的敏感憑證。
具有實際影響的重大安全弱點,但可利用性受限或需要大量前置條件。
深度防禦發現、範圍狹窄的阻斷服務,或未證明存在信任邊界繞過的強化/一致性缺口。

3. 回應

  1. 向報告者確認收到(敏感事項以私人方式進行)。
  2. 在支援的發行版與最新 main 上重現,接著實作並驗證修補程式,並加入回歸涵蓋。
  3. 嚴重/高:盡快準備修補後的發行版。
  4. 中/低:在正常發行流程中修補,並記錄緩解指引。

4. 溝通與揭露

透過受影響儲存庫中的 GitHub Security Advisories、已修復版本的 release notes/changelog entries,以及直接向報告者追蹤狀態與解決情況來溝通。

嚴重/高事件會進行協調式揭露,並在適當時發布 CVE。低風險強化發現可依影響與使用者暴露程度,記錄於 release notes 或 advisories,而不發布 CVE。

5. 復原與後續追蹤

修復發布後:

  1. 在 CI 與發行成品中驗證補救措施。
  2. 進行簡短的事件後檢討:時間軸、根本原因、偵測缺口、預防計畫。
  3. 新增後續強化/測試/文件任務,並追蹤至完成。

相關

Was this useful?
On this page

On this page