注意: 雖然 JavaScript 對於本網站不是必需的,但您與內容的互動將受到限制。請開啟 JavaScript 以獲得完整的體驗。

  • Python>>>
  • 報告安全問題

Python 安全

報告 PyPI 或 PyPI 託管專案的安全問題

在此處檢視 pypi.org 的安全問題資訊。

報告安全問題

Python 軟體基金會和 Python 開發者社群非常重視安全漏洞。我們成立了 Python 安全響應團隊 (PSRT),負責對所有報告的漏洞進行分類並努力解決。要聯絡該響應團隊,請傳送電子郵件至 security at python dot org。只有響應團隊的成員才能看到您的郵件,並且我們會對其保密。

PSRT 郵件列表受到嚴格控制,因此您可以相信,您的安全問題只會由一個高度信任的 Python 開發者核心小組閱讀。如果出於某種原因,您希望進一步加密傳送到此郵件列表的訊息(例如,您的郵件系統未使用 TLS),您可以使用我們的共享 OpenPGP 金鑰,該金鑰也可在公共金鑰伺服器上找到。

PSRT 接受以下專案的安全報告

PSRT 不接受針對 Python 或 pip 的第三方再發行版的報告。這些報告應直接提交給其相應的發行版安全聯絡人。

漏洞處理

以下是從報告到披露的漏洞處理流程概述

  • 報告者私下向 PSRT 報告漏洞。
  • 如果 PSRT 確定該報告並非漏洞,則在適用的情況下,可以在公共問題跟蹤器中公開該問題。
  • 如果報告構成漏洞,PSRT 將與報告者私下合作解決該漏洞。
  • 專案建立一個新版本以提供修復。
  • 專案透過安全通告公開宣佈該漏洞,並描述如何應用修復。此時,報告者和團隊可以公開討論該漏洞。

漏洞賞金

雖然我們真誠地感謝並鼓勵對受支援的 Python 版本和 PSF 網路基礎設施中疑似安全問題的報告,但請注意,Python 軟體基金會不設任何漏洞賞金計劃。我們是一個非營利組織,依賴於社群的捐贈和支援。

已釋出的安全通告和郵件列表

安全通告會發布到多個公共位置。通告會透過電子郵件傳送到 security-announce@python.org 郵件列表。如果您希望獲得新發布的安全通告更新,請訂閱該郵件列表。該郵件列表有一個公共存檔,其中包含所有傳送到該列表的歷史通告。

還有一個釋出在 GitHub 上的通告資料庫,它使用開源漏洞(OSV)格式,可以透過自動化工具使用。

CVE 編號授權機構 (CNA) 聯絡方式

如果您需要直接聯絡 Python 軟體基金會 CNA,例如為了更新或質疑某條 CVE 記錄,您可以傳送電子郵件至 cna at python dot org。請確保所涉及的 CVE 記錄是由 PSF CNA 而非其他 CNA 釋出的。

OpenGPG 金鑰

金鑰指紋

pub   2048R/D067453C 2010-09-08
      Key fingerprint = F314 452F E3F9 BF87 0435  7732 D273 E0FF D067 453C
uid                  Python Security Response Team <security@python.org>
sub   2048R/0953421B 2010-09-08

金鑰資料

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=Z6PM
-----END PGP PUBLIC KEY BLOCK-----