Tim pengembangan Django memiliki komitmen yang kuat untuk bertanggungjawab melaporkan dan menyingkap terbitan keamanan terkait. Dengan demikian, kami telah memungut dan mengikuti sekumpulan kebijakan yang menyesuaikan ke yang sesuai dan diarahkan kedepan mengizinkan kami untuk mengirim pembaharuan keamanan tepat waktu ke penyaluran resmi Django, sama halnya ke penyaluran pihak ketiga.
Versi pendek: seilahkan laporkan masalah keamanan dengan menyurel security@djangoproject.com.
Kebanyakan kesalahan biasa di Django dilaporkan ke our public Trac instance, tetapi karena sifat sensitif dari masalah keamanan, kami menanyakan bahwa mereka tidak dilaporkan ke umum dalam cara ini.
Malahan, jika anda percaya anda telah menemukan sesuatu di Django yang mempunyai pengaruh keamanan, harap kirim gambaran dari masalah melalui surel ke security@djangoproject.com
. Surat terkirim ke alamat itu menggapai security team.
Sekali anda telah mengajukan sebuah masalah via surel, anda harusnya menerima sebuah pengakuan dari anggota tim keamanan dalam 48 jam, dan tergantung pada tindakan untuk diambil, anda mungkin menerima surel tindak lanjut lebih jauh.
Mengirim laporan dienkripsi
Jika anda ingin mengirim sebuah surel terenkripsi (pilihan), ID kunci umum untuk security@djangoproject.com
adalah 0xfcb84b8d1d17f80b
, dan kunci umum ini tersedia dari kebanyakan peladen kunci umum digunakan.
Pada waktu tertentu, tim Django menyediakan dukungan keamanan resmi untuk beberapa versi dari Django:
Ketika terbitan baru dikeluarkan untuk alasan keamanan, pemberitahuan yang mendampingi akan menyertakan daftar dari versi terpengaruh. Daftar ini terdiri hanya versi didukung Django: versi terlama mungkin juga terpengaruh, tetapi kami tidak menyelidiki untuk menentukan itu, dan tidak mengeluarkan tambalan atau terbitan baru untuk versi itu.
SemVer membuatnya mudah untuk melihat sekilas bagaimana terbitan sesuai dengan satu sama lain. Itu juga membantu mengantisipasi ketika kesesuaian shim akan dipindahkan. Itu tidak murni bentuk dari SemVer dimana setiap terbitan fitur akan berlanjut untuk memiliki sedikit ketidaksesuaian kebelakang terdokumentasi dimana jalur pengusangan tidak mungkin atau tidak sebanding dengan biaya. Juga, pengusangan dimulai dalam terbitan LTS (X.2) akan dijatuhkan di terbitan non-dot-zero (Y.1) untuk mengakomodasi kebijakan kami dari menjaga pengusangan shim untuk setidaknya dua terbitan fitur. Baca di bagian selanjutnya untuk contoh.
Lebih kurang satu minggu sebelum penutupan umum, kami mengirim dua pemberitahuan:
Pertama, kami memberitahu django-announce dari tanggal dan lebih kurang waktu dari terbitan keamanan akan datang, sama halnya sukarnya masalah. Ini untuk membantu organisasi yang butuh memastikan mereka mempunyai staf tersedia untuk menangani mendahulukan pengumuman kami dan meingkatkan Django sesuai kebutuhan. Tingkat kesukaran adalah:
Tinggi:
Sedang:
Rendah:
Kedua, kami memberitahu sebuah daftar dari people and organizations, utamanya disusun dari penjaja sistem-operasi dan penyalur lain dari Django. Surel ini ditandatangi dengan kunci PGP dari seseorang dari Django's release team dan terdiri dari:
Pada hari penyingkapan, kami akan mengambil langkah-langkah berikut:
Jika masalah yang dilaporkan dipercaya menjadi khususnya sesitif waktu -- disebabkan oleh pemanfaatan di alam liar, sebagai contoh -- waktu diantara pemberitahuan lanjutan dan penyingkapan umum mungkin dianggap mempersingkat.
Tambahannya, jika kami mempunyai alasan untuk dipercaya bahwa sebuah masalah dilaporkan ke kami mempengaruhi kerangka kerja lain atau alat-alat di ekosistem Python/jaringan, kami mungkin secara pribadi menghubungi dan mengobrol masalah itu dengan perawat yang sesuai, dan mengkoordinasikan penyingkapan kami sendiri dan pemecahan dengan mereka.
Tim Django juga merawat archive of security issues disclosed in Django.
Daftar penuh dari orang dan organisasi yang menerima pemberitahuan lanjutan dari masalah keamanan adalah tidak dan tidak akan dibuat umum.
Kami juga bertujuan untuk menjaga daftar ini sekecil efektif mungkin, agar pengelolaan lebih baik aliran dari informasi rahasia sebelum penyingkapan. Dengan demikian, daftar pemberitahuan kami tidak cukup daftar pengguna Django, dan hanya menjadi pengguna Django bukan alasan cukup ditempatkan pada daftar pemberitahuan.
Dalam istilah luas, penerima dari pemberitahuan keamanan jatih kedalam tiga kelompok:
Jika anda percaya bahwa anda, atau organisasi anda berwenang untuk mewakili, jatuh kedalam satu dari kelompok terdaftar diatas, anda dapat meminta ditambahkan ke daftar pemberitahuan Django dengan mensurelkan security@djangoproject.com
. Silahkan gunakan subjek baris "Security notification request".
Permintaan anda harus menyertakan informasi berikut:
Sekali diajukan, permintaan anda akan dianggap oleh tim pengembang Django; anda akan menerima balasan memberitahu anda dari hasil dari permintaan anda dalam 30 hari.
Silahkan juga ingat bahwa untuk setiap perseorangan atau oranisasi, menerima pemberitahuan keamanan adalah hak yang diberikan pada kebijakan dari tim pengembangan Django, dan bahwa hak ini dapat diambil kapanpun, dengan atau tanpa penjelasan.
Mar 30, 2019