漏洞披露

如果您认为您在请求中发现了潜在的安全漏洞，请直接发送电子邮件至 Nate 和 Seth。 不要提交公开问题。

我们的 PGP 密钥指纹是：

如果需要，您还可以使用上述配置文件通过 Keybase 与我们联系。

如果英语不是您的母语，请尽量描述问题及其影响。如需更多详细信息，请使用您的母语，我们将尽力使用在线服务进行翻译。

还请包括您用于查找问题的代码以及重现问题所需的最短代码量。

请不要向其他人透露这一点。如有必要，我们将检索 CVE 标识符，并以您提供的任何名称或别名为您提供全部信用。我们只会在有修复并可以在发布中发布时才请求标识符。

我们将尊重您的隐私，并且只有在您授予我们许可的情况下才会公开您的参与。

流程

以下信息讨论了请求项目为响应漏洞披露而遵循的流程。如果您要披露漏洞，文档的这一部分会让您知道我们将如何回应您的披露。

当您报告问题时，其中一名项目成员将在两天内在外部回复您。在大多数情况下，响应会更快，通常在 12 小时内。该初步答复至少将确认收到报告。

如果我们能够快速重现该问题，那么最初的响应也将包含对该问题的确认。如果不是，我们经常会询问有关复制场景的更多信息。

我们的目标是在首次披露后的两周内修复发布的任何漏洞。这可能涉及发布一个临时版本，该版本只是禁用功能，同时可以准备更成熟的修复程序，但在绝大多数情况下，这意味着尽快发布完整版本。

在整个修复过程中，我们将让您及时了解修复的进展情况。一旦准备好修复，我们会通知您我们相信我们有修复。通常，我们会要求您确认修复是否解决了您环境中的问题，尤其是在我们对我们的复制方案没有信心的情况下。

此时，我们将准备发布。如果需要，我们将获得一个 CVE 编号，为您提供该发现的全部功劳。我们还将决定计划的发布日期，并在发布时通知您。此发布日期将始终在工作日。

此时，我们将联系我们的主要下游打包商，通知他们即将发布与安全相关的补丁，以便他们做出安排。此外，这些打包者将提前获得预期的补丁，以确保他们能够及时发布其下游包。目前，我们在公开发布 之前积极联系 的人员名单是：

我们将至少在我们计划的发布日期前一周通知这些人，以确保他们有足够的时间准备。如果您认为自己应该在此列表中，请通过本文顶部的电子邮件地址之一告知其中一位维护者。

在发布日，我们会将补丁推送到我们的公共存储库，以及更新的更新日志，描述问题并感谢您。然后我们将发布包含补丁的 PyPI 版本。

此时，我们将发布该版本。这将涉及到邮件列表、推文和核心团队可用的所有其他通信机制的邮件。

我们还将明确提及哪些提交包含修复程序，以便其他分发者和用户在无法升级时更轻松地修补他们自己的请求版本。