漏洞揭露¶

如果您認為您在 requests 中發現潛在的安全漏洞，請直接發送電子郵件給 Nate 和 Seth。請勿提交公開 issue。

我們的 PGP 金鑰指紋為

如果您願意，也可以透過上述個人資料在 Keybase 上聯絡我們。

如果英語不是您的母語，請盡力描述問題及其影響。如需更詳細的資訊，請使用您的母語，我們將盡力使用線上服務翻譯。

另請包含您用於發現問題的程式碼，以及重現問題所需的最少程式碼。

請勿向任何人透露此事。如有必要，我們將取得 CVE 識別碼，並根據您提供的任何名稱或別名給予您充分的肯定。我們只會在我們有修復程式並可以在版本中發布時才請求識別碼。

我們將尊重您的隱私，並且只有在您授權我們的情況下才會公開您的參與。

流程¶

以下資訊討論了 requests 專案在回應漏洞揭露時遵循的流程。如果您正在揭露漏洞，文件的這個章節將讓您了解我們將如何回應您的揭露。

當您回報問題時，專案成員之一將在最遲兩天內回覆您。在大多數情況下，回覆速度會更快，通常在 12 小時內。此初步回覆至少會確認收到報告。

如果我們能夠快速重現問題，初步回覆也將包含問題確認。如果我們無法重現，我們通常會要求提供更多關於重現情境的資訊。

我們的目標是在首次揭露後的兩週內發布任何漏洞的修復程式。這可能涉及到發布臨時版本，僅停用功能，同時準備更成熟的修復程式，但在絕大多數情況下，這意味著盡快發布完整版本。

在整個修復過程中，我們將隨時向您通報修復進度。一旦修復程式準備好，我們會通知您我們相信我們已經有了修復程式。通常我們會要求您確認修復程式是否在您的環境中解決了問題，特別是如果我們對我們的重現情境沒有信心。

此時，我們將準備發布。如果需要 CVE 編號，我們將取得一個，並充分肯定您發現的貢獻。我們也將決定計劃的發布日期，並告知您發布日期。此發布日期總是會在工作日。

此時，我們將聯繫我們的主要下游封裝者，通知他們即將發布與安全相關的修補程式，以便他們可以做出安排。此外，這些封裝者將提前獲得預期的修補程式，以確保他們能夠及時發布其下游套件。目前，我們在公開發布之前主動聯繫的人員列表為

我們將在計劃的發布日期前至少一週通知這些人員，以確保他們有足夠的時間準備。如果您認為您應該在此列表中，請透過本文頂部的電子郵件地址之一告知維護者。

在發布日，我們將把修補程式推送到我們的公共儲存庫，以及更新的變更日誌，其中描述了問題並感謝您的貢獻。然後，我們將發布包含修補程式的 PyPI 版本。

此時，我們將公開發布。這將包括發送郵件到郵件列表、推文以及核心團隊可用的所有其他溝通機制。

我們還將明確提及哪些 commit 包含修復程式，以便其他發行商和使用者更容易修補他們自己的 requests 版本（如果升級不是一個選項）。