Rails1.1.4が偉いことになっていたようなのを踏まえて、Djangoの場合
2006年08月11日(金) 20:39
セキュリティパッチをあてなさい、これは命令です!的な感じで、Railsの1.1.4についてRails界隈では大騒ぎになっていたようです(その1.1.5にも問題があったようで1.1.6がでています)。
RailsのセキュリティホールというかバグについてはRailsの人たちに任せて、Djangoにセキュリティホールが見つかった場合はどうすべきかについて。
Railsの騒ぎを受けて、Adrianがエントリを起こしています。
ドキュメントにあるように、security@djangoproject.comにメールにて通知してください。本当にコアなメンバにのみ通知されます。
コアなメンバは落ち着いてセキュリティホールを塞ぎ、アナウンスする方策やタイミングを検討し、適切に世の中に告知を行います。その際、セキュリティホールを通知した人にはおおよそのマイルストーンが通知されます。
http://groups.google.com/group/django-announce
RailsのセキュリティホールというかバグについてはRailsの人たちに任せて、Djangoにセキュリティホールが見つかった場合はどうすべきかについて。
Railsの騒ぎを受けて、Adrianがエントリを起こしています。
セキュリティホールを見つけたら
→ 絶対に公開しないでください。ドキュメントにあるように、security@djangoproject.comにメールにて通知してください。本当にコアなメンバにのみ通知されます。
コアなメンバは落ち着いてセキュリティホールを塞ぎ、アナウンスする方策やタイミングを検討し、適切に世の中に告知を行います。その際、セキュリティホールを通知した人にはおおよそのマイルストーンが通知されます。
Django-announceの開設
セキュリティ関連やリリースについてのアナウンスを流通させるためのメーリングリスト(リードオンリー)が開設されました。Djangoを使用している人は参加しましょう。http://groups.google.com/group/django-announce
