L’équipe de développement de Django s’engage fortement au signalement et à la publication des failles de sécurité. De ce fait, un ensemble de règles a été adopté afin de se conformer à cet objectif. Celles-ci sont destinées à permettre de produire des mises à jour de sécurité de la distribution officielle de Django en temps voulu et d’en informer les distributeurs tiers.
Version courte : veuillez signaler les problèmes de sécurité en écrivant à security@djangoproject.com.
La majorité des bogues normaux de Django sont signalés au travers de notre instance Trac publique, mais en raison de la nature sensible des problèmes de sécurité, nous demandons instamment de ne pas signaler ce genre de problèmes de manière publique.
Au lieu de cela, si vous pensez avoir découvert un problème dans Django qui pourrait avoir des implications en terme de sécurité, nous vous prions d’envoyer une description du problème par courriel à security@djangoproject.com
. Les messages envoyés à cette adresse sont destinés à l’équipe de sécurité.
Après avoir soumis le problème par courriel, vous devriez recevoir un accusé de réception de la part d’un membre de l’équipe de sécurité dans les 48 heures. En fonction de l’action à entreprendre, il est possible que vous receviez ensuite d’autres courriels de suivi.
Envoi de signalements chiffrés
Si vous souhaitez envoyer un message chiffré (facultatif), l’identifiant de clé publique de l’adresse security@djangoproject.com
est 0xfcb84b8d1d17f80b
. Cette clé publique est disponible sur la plupart des serveurs de clés fréquemment utilisés.
À tout moment, l’équipe Django fournit une prise en charge de sécurité officielle pour plusieurs versions de Django :
Lorsque de nouvelles versions sont publiées pour des raisons de sécurité, la note qui l’accompagne inclut une liste des versions concernées. Cette liste ne contient que les versions prises en charge de Django : les versions plus anciennes peuvent aussi être affectées, mais nous ne faisons pas de recherches pour le déterminer et nous n’offrons pas de correctifs ou de nouvelles publications pour ces versions.
Notre processus d’annonce d’une faille de sécurité à partir d’une discussion privée jusqu’à son annonce publique se déroule en plusieurs étapes.
Environ une semaine avant l’annonce publique, nous envoyons deux notifications :
Tout d’abord, nous avertissons sur django-announce de la date et de l’heure approximatives de la publication de sécurité à venir, ainsi que de la gravité des problèmes. Ceci permet d’aider les organisations qui doivent s’assurer de disposer de personnel disponible pour s’occuper de l’analyse de l’annonce et de la mise à jour de Django, le cas échéant. Les niveaux de gravité sont :
Elevé (high) :
Modéré (moderate) :
Bas (low) :
Ensuite, nous avertissons une liste de personnes et organisations, principalement composée de fournisseurs de systèmes d’exploitation et d’autres distributeurs de Django. Ce courriel est signé avec la clé PGP d’une personne de l”équipe de publication de Django et consiste en :
Le jour de l’annonce publique, voici les mesures qui seront appliquées :
Si un problème signalé est jugé particulièrement urgent, par exemple en raison d’une exploitation publiquement connue, l’intervalle entre la notification précoce et l’annonce publique peut être considérablement raccourci.
De plus, si nous avons des raisons de penser que le problème signalé affecte d’autres cadriciels ou outils dans l’écosystème Python/web, il est possible que nous en discutions en privé avec les mainteneurs concernés et que l’annonce et la résolution soient coordonnées avec les leurs.
L’équipe Django maintient aussi une archive des problèmes de sécurité découverts dans Django.
La liste complète des personnes et organisations qui reçoivent les notifications anticipées des failles de sécurité n’est pas publique.
Nous essayons également de conserver cette liste aussi petite que possible, afin de pouvoir mieux contrôler le flux des informations confidentielles avant une divulgation. Ainsi, cette liste de notification n’est pas simplement une liste d’utilisateurs de Django et il ne suffit pas d’utiliser Django pour être éligible à figurer sur cette liste.
De manière générale, les destinataires des notifications de sécurité anticipées sont divisés en trois groupes :
Si vous pensez que vous ou une organisation que vous êtes autorisé à représenter entre dans l’un des groupes décrits ci-dessus, vous pouvez demander à être ajouté à la liste de notification de Django en écrivant (en anglais) à security@djangoproject.com
. Comme sujet du message, veuillez utiliser « Security notification request ».
Votre demande doit inclure les informations suivantes :
Une fois envoyée, votre demande sera prise en compte par l’équipe de développement de Django ; vous recevrez dans les 30 jours une réponse vous informant du statut de votre demande.
Veuillez également garder à l’esprit que pour tout individu ou organisation, la réception des notifications de sécurité est un privilège accordé à la seule discrétion de l’équipe de développement de Django et que ce privilège peut être retiré en tout temps, avec ou sans justification.
mars 30, 2019