安全¶
如果你发现了一个 joserfc
的潜在安全漏洞,请直接发邮件给 <me@lepture.com>。
警告
请不要提交公开的 Issue。
请不要将此问题透露给其他人。如有必要,我们会申请 CVE 编号,并根据您提供的姓名或别名给予完整的致谢。我们只会在修复完成并准备发布新版本时申请 CVE 编号。
处理流程¶
以下是我们收到安全报告后的处理流程:
我们将在 24 小时内回复您。
我们会在 2 天内确认问题是否存在。如果无法复现,我们会通过邮件向您索取更多信息。
问题确认后,我们将在 1 周内完成修复。如果暂时无法修复,我们也会告知您当前的进展。
修复将在 PyPI 发布 1 周后同步到 GitHub 上的源代码。
如果有必要,我们会在发布到 PyPI 后申请 CVE 编号。
Previous CVEs¶
CVE-2024-37568: fixed in 0.11.0
CWE fixes¶
CWE-290: fixed in 1.1.0