※ 商品のリンクをクリックして何かを購入すると私に少額の報酬が入ることがあります【広告表示】 セキュリティパッチをあてなさい、これは命令です! 的な感じで、Railsの1.1.4についてRails界隈では大騒ぎになっていたようです(その1.1.5にも問題があったようで1.1.6がでています)。
RailsのセキュリティホールというかバグについてはRailsの人たちに任せて、Djangoにセキュリティホールが見つかった場合はどうすべきかについて。
Railsの騒ぎを受けて、 Adrianがエントリを起こしています 。
セキュリティホールを見つけたら
→ 絶対に公開しないでください。
ドキュメント にあるように、 security@djangoproject.com にメールにて通知してください。本当にコアなメンバにのみ通知されます。
コアなメンバは落ち着いてセキュリティホールを塞ぎ、アナウンスする方策やタイミングを検討し、適切に世の中に告知を行います。その際、セキュリティホールを通知した人にはおおよそのマイルストーンが通知されます。
Django-announceの開設
セキュリティ関連やリリースについてのアナウンスを流通させるためのメーリングリスト(リードオンリー)が開設されました。Djangoを使用している人は参加しましょう。
http://groups.google.com/group/django-announce