Python 安全
报告 PyPI 或托管在 PyPI 上的项目的安全问题
查看 pypi.org 的安全问题信息 此处.
报告安全问题
Python 软件基金会和 Python 开发者社区非常重视安全漏洞。已成立 Python 安全响应团队 (PSRT),负责对所有报告的漏洞进行分类并努力解决这些漏洞。要联系响应团队,请发送电子邮件至 security at python dot org。只有响应团队成员才能看到您的电子邮件,并且会对其进行保密处理。
PSRT 邮件列表受到严格控制,因此您可以确信您的安全问题只会由一组高度信任的 Python 开发者阅读。如果您出于某种原因希望进一步加密您发送到此邮件列表的消息(例如,如果您的邮件系统未使用 TLS),您可以使用我们共享的 OpenPGP 密钥,该密钥也位于公共密钥服务器上。
PSRT 接受以下项目的安全报告
- CPython 版本(支持和已结束生命周期)可在 https://pythonlang.cn/downloads 获取
- pip 版本可在 https://pypi.org/project/pip 获取
PSRT 不接受有关 Python 或 pip 的第三方重新分发的报告。这些报告应直接发送到相应的发行版安全联系人。
漏洞处理
以下是从报告到披露的漏洞处理流程概述
- 报告者私下向 PSRT 报告漏洞。
- 如果 PSRT 确定报告不是漏洞,则该问题可以在适用的情况下在公共问题跟踪器中打开。
- 如果报告构成漏洞,PSRT 将与报告者私下合作解决漏洞。
- 该项目创建了一个新版本来提供修复。
- 该项目公开宣布漏洞,并通过咨询说明如何应用修复。此时,漏洞可以由报告者和团队公开讨论。
漏洞赏金
虽然我们真诚地感谢并鼓励您报告在受支持的 Python 版本和 PSF 网站基础设施中发现的疑似安全问题,但请注意,Python 软件基金会不运行任何漏洞赏金计划。我们是一个非营利组织,依靠社区的捐赠和支持。
已发布的咨询和邮件列表
安全咨询发布到多个公共位置。咨询通过电子邮件发送到 [email protected] 邮件列表。如果您想了解新发布的安全咨询,请订阅该邮件列表。该邮件列表有一个 公共存档,其中包含发送到该列表的所有历史咨询。
CVE 编号机构 (CNA) 联系方式
如果您需要直接联系 Python 软件基金会 CNA,例如更新或争议 CVE 记录,您可以发送电子邮件到 cna at python dot org。请确保所讨论的 CVE 记录是由 PSF CNA 而不是其他 CNA 发布的。
OpenGPG 密钥
密钥指纹
pub 2048R/D067453C 2010-09-08 Key fingerprint = F314 452F E3F9 BF87 0435 7732 D273 E0FF D067 453C uid Python Security Response Team <[email protected]> sub 2048R/0953421B 2010-09-08
密钥数据
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.10 (GNU/Linux) mQENBEyH8KIBCADLe9mczGnhhLFBbxWDgxHzzr/eExGuVQb+VYsa0WDZG4z/y+Kx KsZ8da/adKaiig2soQJiZtYb6w1JDtugwy8+ySDY8ECAB7qdGK6gB17P1UFsI93d IAe25DdEybbi0sMPbw0Q5Ka+ihI1ZnPifyG0oLK901QfTutOYAk42J7V/p6fHzK+ pCeOri+aSGlWxVtC03iPNIiL5InfKPCEvZ5ih8/98hCqccp6teDaGxhnab+5GYZq wDknmK230r5UWd/VlGSiC4DJCuE+GY1r1DXx+E/ANjeMZOXQ4kBMxp8aFz7k1vFX Mbqv+TWD+BZzgu6Fa4KCgWW7Jn1syKpwA7ahABEBAAG0M1B5dGhvbiBTZWN1cml0 eSBSZXNwb25zZSBUZWFtIDxzZWN1cml0eUBweXRob24ub3JnPokBOAQTAQIAIgUC TIfwogIbAwYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ0nPg/9BnRTwRowf+ IN0rG5Gj/quhfhS0CyqoYYu3H9I8WDSw9I7GjVQY0KZAbYEmNbZ/Kmwa59opXoIG Kfo2KEDVwADf17vpdIER9bcpFF0fPFnAGI1XWQKkZX8uckB4TkEQvxZpLjD14XX8 eFMXwLBc3IGMYRJUIgEC5C2/TkaCc5qgTw0P8tCd7JNgey+Ogf1KE0ks34MKsXD4 xV4WS2Kfu2HjoAURhqQHr3Ug5kFKIHAeKY7EAVUvGp6r4uMCsAWKKUWUZfYSpH7+ UAWOtxEbDpDt5IrmOI2V60X3qGaNMxF+wQc/MpM+L1BN4bdf6dlB3u6gHkixdoMl Yh6/T7NZMZ3HKV3RC5hf6IkCHAQQAQgABgUCTIf47gAKCRASbrVjp0sGv5+9D/wI aR0a/S5lin5FfNUCLL528+aJlV0XHMrugPrwB8jOdM3367ORgHxx3qHcgLJuoBRn zQ1v1SaqvN4TvQ1tDtS5+lsCSBjCpzMQxcZY6VMm59ulZ80PHsOqYVj5ev8KHq/h pDAHSCvnE52MUKNm33+SJ2q6KLGs0hb3HL2RBEX9f9+3XCLdOlbETPiQIipN2jx3 QFhcIZTAlVOY7R3ENrFNx8pmK5Dpsu7vchPEDl4ssfnQom9mTU5en9Ix7UDSTNLC XmMxvaoafRYgBH9rzXJgHvHO/37uE/2PstTF0h40Vl0UoNSqr2aKN1fR0DJgr4A4 aiOyaHCXvPanVuNcW4FJYiO9QlYQfZvjvGtazqRSc+WzuKDYfKYpRgcYsSAUz1DI 0voJ/oaaQ8XcTeW5l8P6AlFfYCJ/yqKOL4lQ5qM64So4MuQyplos/LvqKTt9MYPt 2MjEwa7n5++YWKIYMywb2A7KXymav6yf+kMLRpymQweH5f8ZHoR1mSs4Ac5HpZ1M COtGrHRY6iWw/5SLkm+INm6jqo1bU0Vzm/2ju4omie68jVkv9byoGcrty9xookfA +fHCVx8LV4hBFWcCKmH7NFWY8Iq3UgrbpHYal4vuOJlmEMZayHRJ4dtEZTD/kGul gQL/xmVVGLtNGCvodmcx5VU8QAUBr0p0dWX79yVlCLkBDQRMh/CiAQgAsWKEEJTn D+pf0zZc1bt0fHNLEk36G+aHMK77LzhPpeAOCm3296vjjoKy99OAKuyKMVFY59nK zZ3lXvP89yuxgJwWJM7uf0iZ0njo1DPxyZ1jldPiZEiXhShwDNAQR3EkP8IvilsV 3BKcWO/E6wCiMLQFpWDlPdTw7v3LwGnDNk6AmU6Jiy0tbraNyq7USIu+80yUcJ/K HYXPgx0ZEZIWhQKonekN+AhpJaSOUPVeYdxMwj3ZSHOTfzORXVnjbscPnfStz5F6 fVnikDnSZYgOauaJCEwqVEpdxM9O7wuRsZf4UGN13wMMbRnEDnmt2VBsNK2NNqvQ UcimMcbO9y2V5wARAQABiQEfBBgBAgAJBQJMh/CiAhsMAAoJENJz4P/QZ0U8KaMI AIukbpQFcoVVzA/DbQhkCYkCdYYWXacC71xoq45mnM/gSDMGBaitZIX/ngvDLH7I 7tf+fOcIo0w+mPBuGQZfGHyYZ2Qv1DHgdYJC4U8ccftnzv6GxYxiwB6elVFgOrS8 8B5Y9GdUDzjO8ZF3zzdq0Hy4AN/cn+ybkDWDxwLncdM9FX39cHnEEmZE+u9qaacK r/uhVveqbNOH9N6iwrp0Oc0D6Ktq9uU+sGC+6XBRhZlUT0yExyxEG1abpIIC1Kby tQvO+Ejsx6fV55784qypqDyp7dtPHWCXD7mwI3zneYZbnV0nZvznBhNE4DqHuqvI 8C7KT7DjqaL3FVHdMtyrcPk= =Z6PM -----END PGP PUBLIC KEY BLOCK-----