注意:虽然 JavaScript 不是本网站的必需品,但您与内容的交互将受到限制。请开启 JavaScript 以获得完整体验。

Python 安全

报告 PyPI 或托管在 PyPI 上的项目的安全问题

查看 pypi.org 的安全问题信息 此处.

报告安全问题

Python 软件基金会和 Python 开发者社区非常重视安全漏洞。已成立 Python 安全响应团队 (PSRT),负责对所有报告的漏洞进行分类并努力解决这些漏洞。要联系响应团队,请发送电子邮件至 security at python dot org。只有响应团队成员才能看到您的电子邮件,并且会对其进行保密处理。

PSRT 邮件列表受到严格控制,因此您可以确信您的安全问题只会由一组高度信任的 Python 开发者阅读。如果您出于某种原因希望进一步加密您发送到此邮件列表的消息(例如,如果您的邮件系统未使用 TLS),您可以使用我们共享的 OpenPGP 密钥,该密钥也位于公共密钥服务器上。

PSRT 接受以下项目的安全报告

PSRT 不接受有关 Python 或 pip 的第三方重新分发的报告。这些报告应直接发送到相应的发行版安全联系人。

漏洞处理

以下是从报告到披露的漏洞处理流程概述

  • 报告者私下向 PSRT 报告漏洞。
  • 如果 PSRT 确定报告不是漏洞,则该问题可以在适用的情况下在公共问题跟踪器中打开。
  • 如果报告构成漏洞,PSRT 将与报告者私下合作解决漏洞。
  • 该项目创建了一个新版本来提供修复。
  • 该项目公开宣布漏洞,并通过咨询说明如何应用修复。此时,漏洞可以由报告者和团队公开讨论。

漏洞赏金

虽然我们真诚地感谢并鼓励您报告在受支持的 Python 版本和 PSF 网站基础设施中发现的疑似安全问题,但请注意,Python 软件基金会不运行任何漏洞赏金计划。我们是一个非营利组织,依靠社区的捐赠和支持。

已发布的咨询和邮件列表

安全咨询发布到多个公共位置。咨询通过电子邮件发送到 [email protected] 邮件列表。如果您想了解新发布的安全咨询,请订阅该邮件列表。该邮件列表有一个 公共存档,其中包含发送到该列表的所有历史咨询。

还有一个 咨询数据库 发布到 GitHub,使用 开源漏洞 (OSV) 格式,可以使用自动化工具进行使用。

CVE 编号机构 (CNA) 联系方式

如果您需要直接联系 Python 软件基金会 CNA,例如更新或争议 CVE 记录,您可以发送电子邮件到 cna at python dot org。请确保所讨论的 CVE 记录是由 PSF CNA 而不是其他 CNA 发布的。

OpenGPG 密钥

密钥指纹

pub   2048R/D067453C 2010-09-08
      Key fingerprint = F314 452F E3F9 BF87 0435  7732 D273 E0FF D067 453C
uid                  Python Security Response Team <[email protected]>
sub   2048R/0953421B 2010-09-08

密钥数据

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=Z6PM
-----END PGP PUBLIC KEY BLOCK-----