安全

If you discover a security vulnerability, do not submit a public issue or patch. Instead, please report it privately through the GitHub Security tab.

Do not share details of the vulnerability with anyone else. If necessary, we will obtain a CVE identifier and ensure you receive full credit under the name or alias you provide. We will only request a CVE once a fix has been implemented and is ready to be published in a release.

处理流程

以下是我们收到安全报告后的处理流程:

  1. 我们将在 24 小时内回复您。

  2. 我们会在 2 天内确认问题是否存在。如果无法复现,我们会通过邮件向您索取更多信息。

  3. 问题确认后,我们将在 1 周内完成修复。如果暂时无法修复,我们也会告知您当前的进展。

  4. 修复将在 PyPI 发布 1 周后同步到 GitHub 上的源代码。

  5. 如果有必要,我们会在发布到 PyPI 后申请 CVE 编号。

Previous CVEs

  • CVE-2024-37568: fixed in 0.11.0

CWE fixes

  • CWE-290: fixed in 1.1.0