注意: 雖然 JavaScript 對於本網站並非必需,但您與內容的互動將受到限制。請啟用 JavaScript 以獲得完整體驗。

  • Python>>>
  • 報告安全問題

Python 安全性

報告 PyPI 或 PyPI 上託管的專案的安全問題

請在此處檢視 pypi.org 的安全問題資訊 此處

報告安全問題

Python 軟體基金會和 Python 開發者社群非常重視安全漏洞。已經成立了一個 Python 安全響應小組 (PSRT),負責對所有報告的漏洞進行分類並努力解決這些漏洞。要聯絡響應小組,請傳送電子郵件至 security at python dot org。只有響應小組的成員會看到您的電子郵件,並且會將其保密處理。

PSRT 郵件列表受到嚴格控制,因此您可以確信您的安全問題只會由一小群高度信任的 Python 開發者閱讀。如果出於某種原因您希望進一步加密傳送給此郵件列表的訊息(例如,如果您的郵件系統不使用 TLS),您可以使用我們的共享 OpenPGP 金鑰,該金鑰也可在公共金鑰伺服器上找到。

PSRT 接受以下專案的安全報告

PSRT 不接受關於 Python 或 pip 的第三方重新分發的報告。這些報告應直接傳送給其相應的發行版安全聯絡人。

漏洞處理

以下是從報告到披露的漏洞處理過程的概述

  • 報告者私下向 PSRT 報告漏洞。
  • 如果 PSRT 確定報告不是漏洞,則可以在公共問題跟蹤器中開啟該問題(如果適用)。
  • 如果報告構成漏洞,PSRT 將與報告者私下合作解決該漏洞。
  • 專案建立一個新版本來提供修復程式。
  • 該專案公開宣佈漏洞,並透過公告描述如何應用修復程式。此時,報告者和團隊可以公開討論該漏洞。

漏洞賞金

儘管我們衷心感謝並鼓勵報告受支援的 Python 版本和 PSF Web 基礎設施中發現的可疑安全問題,但請注意,Python 軟體基金會不執行任何漏洞賞金計劃。我們是一個非營利組織,依賴於社群的捐贈和支援。

已釋出的公告和郵件列表

安全公告會發布到多個公共位置。公告會透過電子郵件傳送到 security-announce@python.org 郵件列表。如果您想了解新發布的安全公告的最新資訊,請訂閱該郵件列表。該郵件列表有一個 公共存檔,包括髮送到該列表的所有歷史公告。

還有一個使用 開源漏洞 (OSV) 格式釋出到 GitHub 的 公告資料庫,該資料庫可以使用自動化工具進行使用。

CVE 編號機構 (CNA) 聯絡方式

如果您需要直接聯絡 Python 軟體基金會 CNA,例如更新或質疑 CVE 記錄,您可以傳送電子郵件至 cna at python dot org。請確保所討論的 CVE 記錄是由 PSF CNA 而不是其他 CNA 頒發的。

OpenGPG 金鑰

金鑰指紋

pub   2048R/D067453C 2010-09-08
      Key fingerprint = F314 452F E3F9 BF87 0435  7732 D273 E0FF D067 453C
uid                  Python Security Response Team <security@python.org>
sub   2048R/0953421B 2010-09-08

金鑰資料

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=Z6PM
-----END PGP PUBLIC KEY BLOCK-----