Django の開発チームは、セキュリティ関連の問題の責任ある報告と開示に強くコミットしています。そのため、私たちはその理想に従い、公式の Django ディストリビューション、およびサードパーティのディストリビューションにタイムリーなセキュリティ更新を提供できるようにすることを目指した一連の方針を採用し、それに従っています。
要約: セキュリティに関する問題は、security@djangoproject.com までメールで報告してください 。
Djangoにおけるほとんどの通常のバグは our public Trac instance に報告されますが、セキュリティ問題は機密性が高いため、それらをこの方法で公に報告することは しないでください 。
もし Django に関してセキュリティ上の影響を及ぼすと思われる何かを見つけた場合は、問題の説明をメールで security@djangoproject.com
に送ってください。そのアドレスに送られたメールは セキュリティチーム に届きます。
メール経由で問題を報告した後、セキュリティチームのメンバーから48時間以内に確認の返信を受け取るはずです。それに応じて、取られるべき対応に応じて、さらにフォローアップのメールを受け取る場合があります。
暗号化されたレポートの送信
暗号化されたメールを送信したい場合 (任意)、security@djangoproject.com
の公開キーIDは 0xfcb84b8d1d17f80b
です。この公開キーは、一般的に使用されているほとんどのキーサーバーから入手可能です。
Django チームは、特定の時点で複数のバージョンの Django に公式のセキュリティサポートを提供しています:
セキュリティ上の理由で新しいリリースが発行されるとき、付随するお知らせには影響を受けるバージョンのリストが含まれます。このリストは サポートされている Django のバージョンのみで構成されています。古いバージョンも影響を受ける可能性がありますが、それを調査することはせず、それらのバージョンに対してパッチや新しいリリースは発行しません。
セキュリティ問題をプライベートな議論から公開開示に移行するプロセスには、複数のステップが含まれています。
公開開示の約1週間前に、2つの通知を送信します:
まず、今後のセキュリティリリースの日付とおおよその時間、および問題の重大性について django-announce に通知します。これは、発表をトリアージし、必要に応じて Django をアップグレードするためにスタッフを用意しておく必要がある組織を支援するためです。重大性レベルは以下の通りです:
次に、主にオペレーティングシステムのベンダーや Django のその他の配布者から構成される 個人および組織 のリストに通知します。このメールは Django's release team の誰かの PGP キーで署名され、以下を含みます:
公開日には、以下の手順を踏みます:
報告された問題が特に急を要すると考えられる場合(たとえば、既知の脆弱性が実際に悪用されているなど)、事前通知と公開開示の間隔はかなり短縮されることがあります。
また、私たちに報告された問題が Python / Web エコシステム内の他のフレームワークやツールに影響を及ぼすと考える理由がある場合には、適切なメンテナーに個別に連絡を取り、その問題について話し合い、私たち自身の開示と解決を彼らのものと調整することがあります。
Django チームは、Django で公開されたセキュリティ問題のアーカイブ も管理しています。
セキュリティ問題の事前通知を受け取る人々と組織の完全なリストは、公開されておらず、今後も公開されることはありません。
また、開示前の機密情報の流れをより良く管理するために、このリストを実質的に可能な限り小さく保つことを目指しています。そのため、当社の通知リストは単に Django のユーザーのリストでは ありません 。そして、Django のユーザーであることは、通知リストに追加されるための十分な理由ではありません。
一般的に、セキュリティ通知を受け取ることができる人は以下の 3 つのグループに分けられます:
セキュリティ監査団体とスキャニング団体
ポリシーとして、この種の団体を通知リストに追加することはありません。
もしあなたや、あなたが代理を務める組織が、上記にリストされたグループのいずれかに該当すると考えられる場合は、security@djangoproject.com
へメールを送信して、Djangoの通知リストに追加されるよう依頼できます。件名には「Security notification request」と記載してください。
リクエストには、以下の情報を 必ず 含める必要があります:
送信されたら、あなたのリクエストは Django 開発チームによって検討されます。リクエストの結果については、30日以内に返信で通知されます。
セキュリティ通知を受け取ることは、Django 開発チームの唯一の裁量によって付与される特権であり、この特権はいつでも、説明の有無にかかわらず、取り消すことができることを念頭に置いてください 。
必要な情報をすべて提供してください
初回の連絡で必要な情報を提供しなかった場合、あなたのリクエストを承認するかどうかの決定に影響を与えます。
8月 06, 2024