漏洞披露

如果您认为在请求中发现了潜在的安全漏洞,请发送电子邮件 NateSeth 直接。 不要提交公共问题。

我们的PGP关键指纹是:

  • 8722 7E29 AD9C FF5C FAC3 EA6A 44D3 FF97 B80D C864 (@nateprewitt

  • EDD5 6765 A9D8 4653 CBC8 A134 51B0 6736 1740 F5FC (@sethmlarson

您也可以联系我们 Keybase 如果需要,可以使用上面的配置文件。

如果英语不是你的第一语言,请尽量描述这个问题及其对你能力的影响。如需了解更多详情,请使用您的母语,我们将尽力使用在线服务进行翻译。

还请包括您用来发现问题的代码以及重现问题所需的最短代码量。

请不要向任何人透露这一点。如有必要,我们将检索一个CVE标识符,并在您提供的任何名称或别名下给予您完整的信用。只有当我们有一个修复程序时,我们才会请求一个标识符,并且可以在一个版本中发布它。

我们尊重您的隐私,只有在您允许的情况下才会公开您的参与。

过程

以下信息讨论了请求项目响应漏洞披露的过程。如果您披露了一个漏洞,文档的这一部分将让您知道我们将如何响应您的披露。

时间线

当你报告一个问题时,其中一个项目成员将在两天内回复你。 在外面. 在大多数情况下,反应会更快,通常在12小时内。这一初步答复将至少确认收到报告。

如果我们能够快速复制问题,初始响应也将包含对问题的确认。如果我们没有,我们通常会要求更多关于复制场景的信息。

我们的目标是在首次披露后两周内修复任何漏洞。这可能涉及到发布一个临时版本,该版本在准备更成熟的修复程序的同时简单地禁用了功能,但在绝大多数情况下意味着尽快发布一个完整的版本。

在整个修复过程中,我们将让您了解修复的进展情况。一旦修复准备好,我们将通知您我们相信我们有修复。通常,我们会要求您确认修复程序可以解决您环境中的问题,特别是如果我们对我们的复制方案没有信心的话。

此时,我们将为发布做准备。如果需要,我们将获得一个CVE编号,为您提供发现的全部学分。我们还将决定计划的发布日期,并在何时通知您。此发布日期将 always 在工作日。

此时,我们将联系我们的主要下游包装商,通知他们即将出现的安全相关补丁,以便他们作出安排。此外,这些包装商将提前提供预期的补丁,以确保他们能够及时释放其下游包装。目前我们积极联系的人员名单 ahead of a public release 是:

  • 杰里米·克莱恩,红帽(@jeremy cline)

  • 丹尼尔特里科利,德班(@eriol)

我们将至少提前一周通知这些人员,以确保他们有足够的时间准备。如果您认为您应该在这个列表上,请让其中一个维护人员知道在本文顶部的一个电子邮件地址。

在发布之日,我们将把补丁推到我们的公共存储库中,同时更新一个描述这个问题的变更日志,并将其归功于您。然后我们将发布一个包含补丁的pypi版本。

在这一点上,我们将公布这个版本。这将涉及邮件到邮件列表、推文以及核心团队可用的所有其他通信机制。

我们还将明确指出哪些提交包含修复,以便其他分发服务器和用户在升级不是选项的情况下更容易地修补自己的请求版本。

先前的CVES