注意: 虽然 JavaScript 对于本网站并非必需,但您与内容的互动将受到限制。请启用 JavaScript 以获得完整体验。

Python 安全性

报告 PyPI 或 PyPI 上托管的项目的安全问题

请在此处查看 pypi.org 的安全问题信息 此处

报告安全问题

Python 软件基金会和 Python 开发者社区非常重视安全漏洞。已经成立了一个 Python 安全响应小组 (PSRT),负责对所有报告的漏洞进行分类并努力解决这些漏洞。要联系响应小组,请发送电子邮件至 security at python dot org。只有响应小组的成员会看到您的电子邮件,并且会将其保密处理。

PSRT 邮件列表受到严格控制,因此您可以确信您的安全问题只会由一小群高度信任的 Python 开发者阅读。如果出于某种原因您希望进一步加密发送给此邮件列表的消息(例如,如果您的邮件系统不使用 TLS),您可以使用我们的共享 OpenPGP 密钥,该密钥也可在公共密钥服务器上找到。

PSRT 接受以下项目的安全报告

PSRT 不接受关于 Python 或 pip 的第三方重新分发的报告。这些报告应直接发送给其相应的发行版安全联系人。

漏洞处理

以下是从报告到披露的漏洞处理过程的概述

  • 报告者私下向 PSRT 报告漏洞。
  • 如果 PSRT 确定报告不是漏洞,则可以在公共问题跟踪器中打开该问题(如果适用)。
  • 如果报告构成漏洞,PSRT 将与报告者私下合作解决该漏洞。
  • 项目创建一个新版本来提供修复程序。
  • 该项目公开宣布漏洞,并通过公告描述如何应用修复程序。此时,报告者和团队可以公开讨论该漏洞。

漏洞赏金

尽管我们衷心感谢并鼓励报告受支持的 Python 版本和 PSF Web 基础设施中发现的可疑安全问题,但请注意,Python 软件基金会不运行任何漏洞赏金计划。我们是一个非营利组织,依赖于社区的捐赠和支持。

已发布的公告和邮件列表

安全公告会发布到多个公共位置。公告会通过电子邮件发送到 [email protected] 邮件列表。如果您想了解新发布的安全公告的最新信息,请订阅该邮件列表。该邮件列表有一个 公共存档,包括发送到该列表的所有历史公告。

还有一个使用 开源漏洞 (OSV) 格式发布到 GitHub 的 公告数据库,该数据库可以使用自动化工具进行使用。

CVE 编号机构 (CNA) 联系方式

如果您需要直接联系 Python 软件基金会 CNA,例如更新或质疑 CVE 记录,您可以发送电子邮件至 cna at python dot org。请确保所讨论的 CVE 记录是由 PSF CNA 而不是其他 CNA 颁发的。

OpenGPG 密钥

密钥指纹

pub   2048R/D067453C 2010-09-08
      Key fingerprint = F314 452F E3F9 BF87 0435  7732 D273 E0FF D067 453C
uid                  Python Security Response Team <[email protected]>
sub   2048R/0953421B 2010-09-08

密钥数据

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=Z6PM
-----END PGP PUBLIC KEY BLOCK-----