Django的开发团队致力于负责任地报告和披露与安全相关的问题。 因此,我们采用并遵循一系列符合这一理想的政策,旨在使我们能够及时为Django的官方发行版以及第三方发行版提供安全更新。
短期版本:请通过电子邮件发送security@djangoproject.com报告安全问题。
Django中的大多数正常错误都报告给我们的公共Trac实例,但由于安全问题的敏感性,我们要求他们不以这种方式公开报告。
相反,如果您认为您在Django中发现了具有安全隐患的内容,请通过电子邮件将此问题的说明发送到security@djangoproject.com
。 发送到该地址的邮件到达安全小组。
通过电子邮件提交问题后,您应在48小时内收到安全小组成员的确认,并且根据要采取的操作,您可能会收到进一步的后续电子邮件。
发送加密报告
如果您要发送加密电子邮件(可选),则security@djangoproject.com
的公钥ID为0xfcb84b8d1d17f80b
,并且此公钥可从最常用的密钥服务器。
在任何给定的时间,Django团队为Django的多个版本提供官方安全支持:
当出于安全原因发布新版本时,随附的通知将包括受影响版本的列表。 此列表仅由支持的版本的Django组成:旧版本也可能受到影响,但我们不进行调查确定,并且不会为这些版本发布补丁或新版本。
我们从私人讨论到公开披露的安全问题的过程涉及多个步骤。
在公开披露约一周之前,我们发送两个通知:
首先,我们通知django-announce即将发布的安全版本的日期和大概时间以及问题的严重性。 这是为了帮助需要确保他们有能力处理我们的公告和根据需要升级Django的员工的组织。 严重程度为:
高:
中等:
低:
Second, we notify a list of people and organizations, primarily composed of operating-system vendors and other distributors of Django. 该电子邮件是使用来自Django发行团队的某人的PGP密钥进行签名的,包括:
在披露当天,我们将采取以下步骤:
如果报告的问题被认为是特别时间敏感的 - 例如,由于野生动物已知的利用,预先通知和公开披露之间的时间可能会大大缩短。
此外,如果我们有理由相信报告给我们的问题会影响Python / Web生态系统中的其他框架或工具,我们可能会私下与相应的维护者联系并讨论这些问题,并协调我们自己的披露和解决方案。
Django团队还维护Django中公开的archive of security issues disclosed in Django。
事先通知安全问题的人员和组织的完整名单不会公开,也不会公开。
我们还旨在尽可能保持此列表尽可能小,以便在公开之前更好地管理机密信息的流动。 因此,我们的通知列表不是只是Django的用户列表,并且仅仅是Django的用户不足以放在通知列表上。
广义上,安全通知的接收者分为三组:
如果您认为您或您授权代表的机构属于上述其中一个群组,您可以要求透过电子邮件security@djangoproject.com
将其新增至Django的通知清单。 请使用主题行“安全通知请求”。
您的要求必须包含以下信息:
一旦提交,您的请求将由Django开发团队考虑;您将收到一封回复,在30天内通知您您的请求结果。
另请注意,对于任何个人或组织,接收安全通知是由Django开发团队自行决定授予的特权,并且此权限可随时撤销,无论是否解释。
2017年9月6日