安全

如果你发现了一个 joserfc 的潜在安全漏洞,请直接发邮件给 <me@lepture.com>。

警告

请不要提交公开的 Issue。

请不要将此问题透露给其他人。如有必要,我们会申请 CVE 编号,并根据您提供的姓名或别名给予完整的致谢。我们只会在修复完成并准备发布新版本时申请 CVE 编号。

处理流程

以下是我们收到安全报告后的处理流程:

  1. 我们将在 24 小时内回复您。

  2. 我们会在 2 天内确认问题是否存在。如果无法复现,我们会通过邮件向您索取更多信息。

  3. 问题确认后,我们将在 1 周内完成修复。如果暂时无法修复,我们也会告知您当前的进展。

  4. 修复将在 PyPI 发布 1 周后同步到 GitHub 上的源代码。

  5. 如果有必要,我们会在发布到 PyPI 后申请 CVE 编号。

Previous CVEs

  • CVE-2024-37568: fixed in 0.11.0

CWE fixes

  • CWE-290: fixed in 1.1.0