🔒 Sicherheitsrichtlinie
Bei Open WebUI ist der Schutz der Sicherheit und Vertraulichkeit von Benutzerdaten unser vorrangiges Anliegen. Unsere technische Architektur und Entwicklungsprozesse sind darauf ausgelegt, Schwachstellen zu minimieren und das Vertrauen zu wahren, das unsere Stakeholder in uns setzen. Regelmäßige Bewertungen, die Prüfung der Codebasis und die systematische Übernahme von Best-Practice-Methoden stellen sicher, dass Sicherheit ein zentraler Bestandteil unseres Projektlebenszyklus bleibt.
Wir setzen eine Mischung aus automatisierten und manuellen Techniken ein, um mit sich entwickelnden Bedrohungen Schritt zu halten, und verbessern unseren Ansatz kontinuierlich, einschließlich Plänen zur Integration fortschrittlicher statischer und Abhängigkeitsanalysewerkzeuge. Der Fokus liegt immer auf proaktivem Risikomanagement und dem verantwortungsvollen Umgang mit gemeldeten Schwachstellen.
Unterstützte Versionen
| Version | Unterstützt |
|---|---|
| main | ✅ |
| andere | ❌ |
Wo und wie Sicherheitslücken melden
Die Community von Open WebUI gedeiht dank Menschen wie Ihnen, Menschen, denen die Sicherheit von Software für alle sehr am Herzen liegt.
Um sicherzustellen, dass Ihre Erkenntnisse wirklich zum Schutz der Benutzer beitragen und schnell behoben werden, reichen Sie bitte alle Berichte über Sicherheitslücken **nur** über unsere offizielle GitHub-Sicherheitsseite ein. Jede andere Website, jeder andere Dienst oder jede sogenannte „Bounty“-Plattform ist **nicht** mit uns verbunden, und Ihre wichtige Arbeit wird einfach nicht diejenigen erreichen, die etwas bewirken können.
Wir wissen, dass es verlockend sein kann, Plattformen zu vertrauen, die große Versprechungen machen, aber nur GitHub verbindet Sie direkt mit denen, die Open WebUI schützen. Lassen Sie uns sicherstellen, dass Ihre Wachsamkeit der Community wirklich zugutekommt, berichten Sie hier, wo es wirklich darauf ankommt.
Alle Sicherheitslücken für Open WebUI müssen ausschließlich über unser offizielles GitHub-Repository gemeldet werden: https://github.com/open-webui/open-webui/security.
Wir sind bestrebt, ein sicheres Umfeld aufrechtzuerhalten, indem wir sicherstellen, dass alle Berichte über Sicherheitslücken ausschließlich über unsere offizielle GitHub-Plattform verwaltet werden. Durch die zentrale Abwicklung von Offenlegungen auf GitHub gewährleisten wir, dass jeder Bericht transparent, effizient und vertraulich von den Projektbetreuern bearbeitet wird. Dieser Ansatz ermöglicht es uns, den Mitwirkenden und Benutzern ein Höchstmaß an Transparenz, Rechenschaftspflicht und Sicherheit zu bieten, dass alle sicherheitsrelevanten Kommunikationen und Lösungen gründlich dokumentiert und zuverlässig verwaltet werden. Berichte, die über Plattformen, Kanäle oder Drittanbieterdienste außerhalb von GitHub eingereicht werden, können nicht in unseren offiziellen Sicherheitsworkflow integriert werden und können daher nicht zur Sicherheit von Open WebUI beitragen.
Warum nur GitHub?
Unser Engagement für einen einzigen, zentralen Melduemechanismus wurzelt sowohl in technischer Strenge als auch in ethischer Verantwortung.
- Integrität und Nachverfolgbarkeit: Die Verwaltung von Berichten ausschließlich über GitHub stellt sicher, dass jedes Problem im Open-Source-Ökosystem behandelt wird, wo die Community den Prozess, die Ergebnisse und die Rechenschaftspflicht der Mitwirkenden überprüfen kann.
- Benutzersicherheit: Andere Websites, die behaupten, die Offenlegung von Schwachstellen zu erleichtern, Belohnungen oder Bounty-Programme anzubieten, sind nicht mit Open WebUI verbunden. Die Einreichung von Schwachstellen an solche Plattformen macht das Projekt nicht sicherer, kann aber versehentlich sensible Details einem Risiko von Missbrauch oder unbefugter Offenlegung aussetzen.
- Schutz der Community: Wenn Informationen unseren zentralen Sicherheitsworkflow umgehen, wird das Projekt nicht nur anfälliger für ungepatchte Exploits, sondern auch für die Verbreitung irreführender oder ausbeuterischer Praktiken. Trotz der Behauptungen von externen Websites, als Vermittler zu fungieren oder Bounties zu zahlen, bieten diese Einheiten keine Garantien für Benutzer und können fragwürdiges oder unsicheres Verhalten unter dem Deckmantel der Anreizschaffung fördern. Letztendlich stellen nur Offenlegungen über unser GitHub sicher, dass Ihre Expertise wie beabsichtigt dem gesamten Ökosystem zugutekommt.
Richtlinien für die Berichterstattung
Um einen konstruktiven und schnellen Behebungsprozess zu gewährleisten, beachten Sie bitte die folgenden Anforderungen:
- Nur detaillierte Berichte einreichen: Vage oder allgemeine Aussagen wie „Ich habe eine Schwachstelle gefunden“ ohne umsetzbare Details werden nicht akzeptiert und als Spam klassifiziert.
- Verständnis demonstrieren: Klare, prägnante Beschreibungen, die durch Nachweise von Auswirkungen oder Ausnutzbarkeit untermauert sind, sind erforderlich. Bitte geben Sie Komponenten, betroffene Versionen und Schritte zur Reproduktion an.
- Proof of Concept erforderlich: Einreichungen müssen einen funktionierenden Proof of Concept (PoC) enthalten. Private Forks können für die verantwortungsvolle Offenlegung verwendet werden – der Zugang muss mit den zuständigen Betreuern geteilt werden.
- Hinweise zur Behebung erwartet: Hochwertige Berichte sind am wertvollsten, wenn sie mit vorgeschlagenen Patches oder direkten, umsetzbaren Schritten zur Abmilderung einhergehen. Dies strafft unsere Überprüfungs- und Lösungszeit und zeigt Engagement für die laufende Robustheit des Projekts.
Mitwirkende, die nicht nur eine Schwachstelle identifizieren, sondern auch eine robuste, bereit zum Zusammenführen stehende Korrektur präsentieren, helfen, unsere Reaktion zu beschleunigen und die Community zu stärken. Wir erkennen solche Bemühungen an und priorisieren sie, und es können zusätzliche Möglichkeiten zur Wertschätzung für diejenigen geben, die umfassende Lösungen anbieten.
Alle nicht konformen oder themenfremden Einreichungen werden geschlossen. Wiederholte Missbrauch kann zum Ausschluss von der Mitarbeit am Projekt führen.
Kommunikation und Vergütung
Alle Risikobewertungen und Folgeaktionen werden vom Kernprojektteam überprüft, was es uns ermöglicht, das Problem direkt zu bewerten, zu priorisieren und zu beheben. Obwohl wir die verantwortungsvolle Offenlegung fördern und qualifizierte Beiträge sehr schätzen, liegt der Prozess – einschließlich der Anerkennung – im alleinigen Ermessen der Betreuer und wird innerhalb von GitHub abgewickelt. Mitwirkende, die umsetzbare Korrekturen anbieten, können je nach Auswirkung ihres Berichts zusätzliche Anerkennung erhalten.
Produktsicherheitsprozess
- Interne und periodische externe Überprüfungen unserer Architektur und Pipelines
- Automatisierte und manuelle Tests für Frontend und Backend
- Proaktives Risikomanagement und Code-Reviews als Teil der laufenden Entwicklung
- Kontinuierliche Verbesserungen und Integration fortschrittlicher Werkzeuge für statische/dynamische Analysen
Wenn Sie ein unmittelbares und umsetzbares Sicherheitsproblem haben, erstellen Sie bitte einen Bericht in unserem Sicherheitsratgeber-Portal oder Issue-Tracker.