Python 安全性
报告 PyPI 或 PyPI 上托管的项目的安全问题
请在此处查看 pypi.org 的安全问题信息 此处。
报告安全问题
Python 软件基金会和 Python 开发者社区非常重视安全漏洞。已经成立了一个 Python 安全响应小组 (PSRT),负责对所有报告的漏洞进行分类并努力解决这些漏洞。要联系响应小组,请发送电子邮件至 security at python dot org。只有响应小组的成员会看到您的电子邮件,并且会将其保密处理。
PSRT 邮件列表受到严格控制,因此您可以确信您的安全问题只会由一小群高度信任的 Python 开发者阅读。如果出于某种原因您希望进一步加密发送给此邮件列表的消息(例如,如果您的邮件系统不使用 TLS),您可以使用我们的共享 OpenPGP 密钥,该密钥也可在公共密钥服务器上找到。
PSRT 接受以下项目的安全报告
- 在 https://pythonlang.cn/downloads 上提供的 CPython 版本(受支持的和已终止支持的)
- 在 https://pypi.ac.cn/project/pip 上提供的 pip 版本
PSRT 不接受关于 Python 或 pip 的第三方重新分发的报告。这些报告应直接发送给其相应的发行版安全联系人。
漏洞处理
以下是从报告到披露的漏洞处理过程的概述
- 报告者私下向 PSRT 报告漏洞。
- 如果 PSRT 确定报告不是漏洞,则可以在公共问题跟踪器中打开该问题(如果适用)。
- 如果报告构成漏洞,PSRT 将与报告者私下合作解决该漏洞。
- 项目创建一个新版本来提供修复程序。
- 该项目公开宣布漏洞,并通过公告描述如何应用修复程序。此时,报告者和团队可以公开讨论该漏洞。
漏洞赏金
尽管我们衷心感谢并鼓励报告受支持的 Python 版本和 PSF Web 基础设施中发现的可疑安全问题,但请注意,Python 软件基金会不运行任何漏洞赏金计划。我们是一个非营利组织,依赖于社区的捐赠和支持。
已发布的公告和邮件列表
安全公告会发布到多个公共位置。公告会通过电子邮件发送到 [email protected] 邮件列表。如果您想了解新发布的安全公告的最新信息,请订阅该邮件列表。该邮件列表有一个 公共存档,包括发送到该列表的所有历史公告。
CVE 编号机构 (CNA) 联系方式
如果您需要直接联系 Python 软件基金会 CNA,例如更新或质疑 CVE 记录,您可以发送电子邮件至 cna at python dot org。请确保所讨论的 CVE 记录是由 PSF CNA 而不是其他 CNA 颁发的。
OpenGPG 密钥
密钥指纹
pub 2048R/D067453C 2010-09-08 Key fingerprint = F314 452F E3F9 BF87 0435 7732 D273 E0FF D067 453C uid Python Security Response Team <[email protected]> sub 2048R/0953421B 2010-09-08
密钥数据
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.10 (GNU/Linux) mQENBEyH8KIBCADLe9mczGnhhLFBbxWDgxHzzr/eExGuVQb+VYsa0WDZG4z/y+Kx KsZ8da/adKaiig2soQJiZtYb6w1JDtugwy8+ySDY8ECAB7qdGK6gB17P1UFsI93d IAe25DdEybbi0sMPbw0Q5Ka+ihI1ZnPifyG0oLK901QfTutOYAk42J7V/p6fHzK+ pCeOri+aSGlWxVtC03iPNIiL5InfKPCEvZ5ih8/98hCqccp6teDaGxhnab+5GYZq wDknmK230r5UWd/VlGSiC4DJCuE+GY1r1DXx+E/ANjeMZOXQ4kBMxp8aFz7k1vFX Mbqv+TWD+BZzgu6Fa4KCgWW7Jn1syKpwA7ahABEBAAG0M1B5dGhvbiBTZWN1cml0 eSBSZXNwb25zZSBUZWFtIDxzZWN1cml0eUBweXRob24ub3JnPokBOAQTAQIAIgUC TIfwogIbAwYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ0nPg/9BnRTwRowf+ IN0rG5Gj/quhfhS0CyqoYYu3H9I8WDSw9I7GjVQY0KZAbYEmNbZ/Kmwa59opXoIG Kfo2KEDVwADf17vpdIER9bcpFF0fPFnAGI1XWQKkZX8uckB4TkEQvxZpLjD14XX8 eFMXwLBc3IGMYRJUIgEC5C2/TkaCc5qgTw0P8tCd7JNgey+Ogf1KE0ks34MKsXD4 xV4WS2Kfu2HjoAURhqQHr3Ug5kFKIHAeKY7EAVUvGp6r4uMCsAWKKUWUZfYSpH7+ UAWOtxEbDpDt5IrmOI2V60X3qGaNMxF+wQc/MpM+L1BN4bdf6dlB3u6gHkixdoMl Yh6/T7NZMZ3HKV3RC5hf6IkCHAQQAQgABgUCTIf47gAKCRASbrVjp0sGv5+9D/wI aR0a/S5lin5FfNUCLL528+aJlV0XHMrugPrwB8jOdM3367ORgHxx3qHcgLJuoBRn zQ1v1SaqvN4TvQ1tDtS5+lsCSBjCpzMQxcZY6VMm59ulZ80PHsOqYVj5ev8KHq/h pDAHSCvnE52MUKNm33+SJ2q6KLGs0hb3HL2RBEX9f9+3XCLdOlbETPiQIipN2jx3 QFhcIZTAlVOY7R3ENrFNx8pmK5Dpsu7vchPEDl4ssfnQom9mTU5en9Ix7UDSTNLC XmMxvaoafRYgBH9rzXJgHvHO/37uE/2PstTF0h40Vl0UoNSqr2aKN1fR0DJgr4A4 aiOyaHCXvPanVuNcW4FJYiO9QlYQfZvjvGtazqRSc+WzuKDYfKYpRgcYsSAUz1DI 0voJ/oaaQ8XcTeW5l8P6AlFfYCJ/yqKOL4lQ5qM64So4MuQyplos/LvqKTt9MYPt 2MjEwa7n5++YWKIYMywb2A7KXymav6yf+kMLRpymQweH5f8ZHoR1mSs4Ac5HpZ1M COtGrHRY6iWw/5SLkm+INm6jqo1bU0Vzm/2ju4omie68jVkv9byoGcrty9xookfA +fHCVx8LV4hBFWcCKmH7NFWY8Iq3UgrbpHYal4vuOJlmEMZayHRJ4dtEZTD/kGul gQL/xmVVGLtNGCvodmcx5VU8QAUBr0p0dWX79yVlCLkBDQRMh/CiAQgAsWKEEJTn D+pf0zZc1bt0fHNLEk36G+aHMK77LzhPpeAOCm3296vjjoKy99OAKuyKMVFY59nK zZ3lXvP89yuxgJwWJM7uf0iZ0njo1DPxyZ1jldPiZEiXhShwDNAQR3EkP8IvilsV 3BKcWO/E6wCiMLQFpWDlPdTw7v3LwGnDNk6AmU6Jiy0tbraNyq7USIu+80yUcJ/K HYXPgx0ZEZIWhQKonekN+AhpJaSOUPVeYdxMwj3ZSHOTfzORXVnjbscPnfStz5F6 fVnikDnSZYgOauaJCEwqVEpdxM9O7wuRsZf4UGN13wMMbRnEDnmt2VBsNK2NNqvQ UcimMcbO9y2V5wARAQABiQEfBBgBAgAJBQJMh/CiAhsMAAoJENJz4P/QZ0U8KaMI AIukbpQFcoVVzA/DbQhkCYkCdYYWXacC71xoq45mnM/gSDMGBaitZIX/ngvDLH7I 7tf+fOcIo0w+mPBuGQZfGHyYZ2Qv1DHgdYJC4U8ccftnzv6GxYxiwB6elVFgOrS8 8B5Y9GdUDzjO8ZF3zzdq0Hy4AN/cn+ybkDWDxwLncdM9FX39cHnEEmZE+u9qaacK r/uhVveqbNOH9N6iwrp0Oc0D6Ktq9uU+sGC+6XBRhZlUT0yExyxEG1abpIIC1Kby tQvO+Ejsx6fV55784qypqDyp7dtPHWCXD7mwI3zneYZbnV0nZvznBhNE4DqHuqvI 8C7KT7DjqaL3FVHdMtyrcPk= =Z6PM -----END PGP PUBLIC KEY BLOCK-----