O time de desenvolvimento do Django é fortemente comprometido em reportar e divulgar problemas de segurança. Como tal, nós adotamos e seguimos um conjunto de políticas que se adequam a esse ideal e são voltados a nos permitir entregar atualizações de segurança pontuais para as distribuições oficiais do Django, assim como para distribuições de terceiros.
Versão curta: por favor reporte problemas de segurança enviando email para security@djangoproject.com.
A maioria dos bugs normais no Django são reportados na `nossa instância publica do Trac `_, mas devido a natureza sensível dos problemas de segurança, nós pedimos que eles não sejam publicamente reportados desta maneira.
Por outro lado, se você acredita que você encontrou algo no Django que tenha implicações de segurança, por favor envie uma descrição do problema via email para security@djangoproject.com
. O email enviado para este endereço chega até o security team.
Uma vez que você tenha submetido via email, você deve receber um recebido de um membro do time de segurança dentro de 48 horas, e dependendo da ação a ser tomada, você poderá receber mais emails de retorno.
Enviando relatórios encriptados
Se você quiser enviar um email criptografado (optional), o ID da chave pública para security@djangoproject.com
é 0xfcb84b8d1d17f80b
, e essa chave pública está disponível nos keyservers mais comuns.
A qualquer momento, o time Django fornece suporte de segurança oficial para várias versões do Django:
Quando novas releases são lançadas por questões de segurança, a notícia que a acompanha irá incluir uma lista de versões afetadas. Essa lista é composta somente de versões suportadas pelo Django: versões antigas também podem ser afetadas, mas nós não investigamos para determinar isso, e nós não lançamos patches ou novas releases para essas versões.
Nosso processo para levar um problema de segurança de discussões privadas para divulgação pública envolve alguns passos.
Aproximadamente uma semana antes da divulgação pública, nós enviamos duas notificações:
Primeiro, nós notificamos o django-announce da data e hora aproximada do lançamento da próxima versão de segurança, bem como a gravidade do problema. Isso ajuda as organizações que precisam disso para garantir que tem pessoal disponível para lidar com a triagem do anúncio e atualizar Djagno se necessário. Os níveis de severidade são:
Alta:
Moderada:
Baixa:
Segundo, nós notificamos uma lista de pessoas e organizações, primariamente compostas por fornecedores de sistemas operacionais e outros distribuidores do Django. Esse e-mail é assinado com uma chave PGP de alguém do time de edições do Django e consiste de:
No dia da divulgação, nós tomaremos as seguintes providências:
Se acredita-se que o problema reportado é particularmente sensível ao tempo – devido a uma conhecida vulnerabilidade de segurança em aberto, por exemplo – o tempo entre a notificação prévia e a divulgação pública pode ser encurtada consideravelmente.
Adicionalmente, se nós tivermos razões para acreditar que o problema reportado para nós afeta outras frameworks e ferramentas no ecossistema Python/web, nós podemos contatar privadamente e discutir esses problemas com os mantenedores apropriados, e coordenar nossa própria divulgação e resolução com eles.
O time Django também mantém um arquivo de problemas de segurança divulgados no Django.
A lista completa de pessoas e organizações que recebem uma notificação prévia de problemas de segurança não é e não será tornada pública.
We also aim to keep this list as small as effectively possible, in order to better manage the flow of confidential information prior to disclosure. As such, our notification list is not simply a list of users of Django, and being a user of Django is not sufficient reason to be placed on the notification list.
Em linhas gerais, recipientes de notificações de segurança caem dentro de três grupos:
Security audit and scanning entities
As a policy, we do not add these types of entities to the notification list.
Se você acredita que você, ou a organização que você está autorizado a representar, cai em um dos grupos listados acima, você pode pedir para ser adicionado a lista de notificações do Django enviando um email para security@djangoproject.com
. Por favor use “Security notification request” no assunto.
O seu pedido deve incluir a informação a seguir:
Uma vez submetido, a sua solicitação será considerada pelo time de desenvolvimento do Django; você irá receber uma resposta notificando você do resultado da sua solicitação dentro de 30 dias.
Por favor tambén tenha em mente que para qualquer indivíduo ou organização, receber notificações de segurança é um privilégio dado somente ao critério do time de desenvolvimento do Django, e que esse privilégio pode ser revogado a qualquer momento, com o sem explicação.
Provide all required information
A failure to provide the required information in your initial contact will count against you when making the decision on whether or not to approve your request.
ago. 03, 2022