Hinweis: Obwohl JavaScript für diese Website nicht unbedingt erforderlich ist, werden Ihre Interaktionsmöglichkeiten mit den Inhalten eingeschränkt sein. Bitte aktivieren Sie JavaScript für das volle Erlebnis.

  • Python>>>
  • Sicherheitslücke melden

Python Sicherheit

Meldung von Sicherheitsproblemen mit PyPI oder einem auf PyPI gehosteten Projekt

Siehe die Informationen zu Sicherheitsproblemen für pypi.org hier.

Meldung von Sicherheitsproblemen

Die Python Software Foundation und die Python-Entwickler-Community nehmen Sicherheitslücken sehr ernst. Ein Python Security Response Team (PSRT) wurde gebildet, das alle gemeldeten Schwachstellen sichtet und an deren Behebung arbeitet. Um das Reaktionsteam zu erreichen, senden Sie eine E-Mail an security at python dot org. Nur die Mitglieder des Reaktionsteams werden Ihre E-Mail sehen und sie wird vertraulich behandelt.

Die PSRT-Mailingliste ist streng kontrolliert, sodass Sie darauf vertrauen können, dass Ihr Sicherheitsproblem nur von einer hochvertrauenswürdigen Gruppe von Python-Entwicklern gelesen wird. Wenn Sie aus irgendeinem Grund Ihre Nachricht an diese Mailingliste weiter verschlüsseln möchten (z. B. wenn Ihr Mail-System kein TLS verwendet), können Sie unseren gemeinsamen OpenPGP-Schlüssel verwenden, der auch auf den öffentlichen Keyservern verfügbar ist.

Das PSRT akzeptiert Sicherheitsberichte für die folgenden Projekte

Das PSRT akzeptiert keine Berichte über Drittanbieter-Neuerungen von Python oder pip. Diese Berichte sollten an deren jeweilige Distributions-Sicherheitskontakte weitergeleitet werden.

Umgang mit Schwachstellen

Das Folgende ist ein Überblick über den Prozess der Schwachstellenbehandlung von der Meldung bis zur Offenlegung

  • Der Melder meldet die Schwachstelle privat an das PSRT.
  • Wenn das PSRT feststellt, dass der Bericht keine Schwachstelle ist, kann das Problem gegebenenfalls in einem öffentlichen Issue Tracker geöffnet werden.
  • Wenn der Bericht eine Schwachstelle darstellt, wird das PSRT privat mit dem Melder zusammenarbeiten, um die Schwachstelle zu beheben.
  • Das Projekt erstellt eine neue Version, um den Fix bereitzustellen.
  • Das Projekt kündigt die Schwachstelle öffentlich an und beschreibt in einem Advisory, wie der Fix angewendet werden kann. Zu diesem Zeitpunkt kann die Schwachstelle öffentlich vom Melder und dem Team diskutiert werden.

Bug-Bounties

Wir schätzen und ermutigen Berichte über vermutete Sicherheitsprobleme in unterstützten Python-Versionen und der PSF-Web-Infrastruktur aufrichtig. Bitte beachten Sie jedoch, dass die Python Software Foundation keine Bug-Bounty-Programme durchführt. Wir sind eine gemeinnützige Organisation, die auf Spenden und Unterstützung aus der Community angewiesen ist.

Veröffentlichte Advisories und Mailingliste

Sicherheits-Advisories werden an mehreren öffentlichen Orten veröffentlicht. Advisories werden per E-Mail an die security-announce@python.org Mailingliste gesendet. Abonnieren Sie die Mailingliste, wenn Sie über neu veröffentlichte Sicherheits-Advisories auf dem Laufenden gehalten werden möchten. Die Mailingliste hat ein öffentliches Archiv, das alle an die Liste gesendeten historischen Advisories enthält.

Es gibt auch eine Advisory-Datenbank, die auf GitHub im Open Source Vulnerability (OSV)-Format veröffentlicht wird und mit automatisierten Tools verarbeitet werden kann.

CVE-Nummerierungsbehörde (CNA) Kontakt

Wenn Sie die Python Software Foundation CNA direkt kontaktieren müssen, z. B. zur Aktualisierung oder Anfechtung eines CVE-Eintrags, können Sie eine E-Mail an cna at python dot org senden. Stellen Sie sicher, dass der betreffende CVE-Eintrag von der PSF CNA und nicht von einer anderen CNA ausgestellt wurde.

OpenGPG-Schlüssel

Schlüssel-Fingerabdruck

pub   2048R/D067453C 2010-09-08
      Key fingerprint = F314 452F E3F9 BF87 0435  7732 D273 E0FF D067 453C
uid                  Python Security Response Team <security@python.org>
sub   2048R/0953421B 2010-09-08

Schlüsseldaten

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
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=Z6PM
-----END PGP PUBLIC KEY BLOCK-----