Python 安全响应团队如何保障 Python 用户的安全

Source: Slashdot

Overview

Python 软件基金会（PSF）最近强调了 Python 安全响应团队（PSRS）如何保障 Python 用户的安全。PSRS 的志愿者和付费员工“对漏洞报告和修复进行分流和协调”，确保整个 Python 生态系统的安全。

Recent Activity

• 在过去的一年里，PSRS 为 CPython 和 pip 发布了 16 条漏洞通告，这是迄今为止单年最高数量。
• 该团队经常与各项目及子模块的维护者和专家合作。直接邀请这些专家参与，可确保修复工作：
  • 符合现有的 API 约定和威胁模型
  • 在长期内保持可维护性
  • 对现有使用场景的影响最小

Coordination with Other Projects

PSRS 有时会与外部开源项目合作，以防止生态系统因跨项目漏洞而措手不及。最近的一个例子是 PyPI ZIP‑archive 差分攻击 的缓解工作，该工作需要在多个项目之间进行协调披露。

Recognition and Future Work

PSRS 的贡献应与代码和文档贡献获得同等认可。安全驻场开发者 Seth Larson 和 PSF 基础设施工程师 Jacob Coffee 正在改进围绕 GitHub Security Advisories 的工作流程。他们的工作旨在：

• 在 CVE 和 OSV 记录中记录报告者、协调者、修复开发者和审阅者
• 正确致谢所有参与者，这些工作往往是对开源安全的私人贡献

这些努力有助于确保透明度、信用以及 Python 及其社区更强的安全姿态。