注意: 虽然 JavaScript 对于本网站不是必需的,但您与内容的互动将受到限制。请开启 JavaScript 以获得完整的体验。

  • Python>>>
  • 报告安全问题

Python 安全

报告 PyPI 或 PyPI 托管项目的安全问题

在此处查看 pypi.org 的安全问题信息。

报告安全问题

Python 软件基金会和 Python 开发者社区非常重视安全漏洞。我们成立了 Python 安全响应团队 (PSRT),负责对所有报告的漏洞进行分类并努力解决。要联系该响应团队,请发送电子邮件至 security at python dot org。只有响应团队的成员才能看到您的邮件,并且我们会对其保密。

PSRT 邮件列表受到严格控制,因此您可以相信,您的安全问题只会由一个高度信任的 Python 开发者核心小组阅读。如果出于某种原因,您希望进一步加密发送到此邮件列表的消息(例如,您的邮件系统未使用 TLS),您可以使用我们的共享 OpenPGP 密钥,该密钥也可在公共密钥服务器上找到。

PSRT 接受以下项目的安全报告

PSRT 不接受针对 Python 或 pip 的第三方再发行版的报告。这些报告应直接提交给其相应的发行版安全联系人。

漏洞处理

以下是从报告到披露的漏洞处理流程概述

  • 报告者私下向 PSRT 报告漏洞。
  • 如果 PSRT 确定该报告并非漏洞,则在适用的情况下,可以在公共问题跟踪器中公开该问题。
  • 如果报告构成漏洞,PSRT 将与报告者私下合作解决该漏洞。
  • 项目创建一个新版本以提供修复。
  • 项目通过安全通告公开宣布该漏洞,并描述如何应用修复。此时,报告者和团队可以公开讨论该漏洞。

漏洞赏金

虽然我们真诚地感谢并鼓励对受支持的 Python 版本和 PSF 网络基础设施中疑似安全问题的报告,但请注意,Python 软件基金会不设任何漏洞赏金计划。我们是一个非营利组织,依赖于社区的捐赠和支持。

已发布的安全通告和邮件列表

安全通告会发布到多个公共位置。通告会通过电子邮件发送到 security-announce@python.org 邮件列表。如果您希望获得新发布的安全通告更新,请订阅该邮件列表。该邮件列表有一个公共存档,其中包含所有发送到该列表的历史通告。

还有一个发布在 GitHub 上的通告数据库,它使用开源漏洞(OSV)格式,可以通过自动化工具使用。

CVE 编号授权机构 (CNA) 联系方式

如果您需要直接联系 Python 软件基金会 CNA,例如为了更新或质疑某条 CVE 记录,您可以发送电子邮件至 cna at python dot org。请确保所涉及的 CVE 记录是由 PSF CNA 而非其他 CNA 发布的。

OpenGPG 密钥

密钥指纹

pub   2048R/D067453C 2010-09-08
      Key fingerprint = F314 452F E3F9 BF87 0435  7732 D273 E0FF D067 453C
uid                  Python Security Response Team <security@python.org>
sub   2048R/0953421B 2010-09-08

密钥数据

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=Z6PM
-----END PGP PUBLIC KEY BLOCK-----