安全

我们重视 requests-toolbelt 的安全性。以下是我们采用的政策集合，以确保及时解决安全问题。

已知漏洞

可以在 osv.dev 以及其他生态系统漏洞数据库中找到 requests-toolbelt 中所有已知漏洞的列表。可以使用诸如 pip-audit 或 osv-scan 之类的工具自动扫描它们。

什么是安全问题？

任何时候都可以使用 requests-toolbelt 的公共 API 编写代码，而该代码不提供合理开发人员根据我们的文档期望它提供的保证。

这有点学术性，但基本上这意味着我们认为漏洞的范围很广，我们不需要概念验证，甚至不需要具体的利用，只需要一个合理的威胁模型，在此模型下 requests-toolbelt 可能会受到攻击。

一般来说，如果您不确定，我们要求您默认将事物视为安全问题并敏感地处理它们，最坏的情况是我们会要求您提交公开问题。

报告安全问题

我们要求您不要向我们的正常 GitHub 问题跟踪器报告安全问题。

如果您认为您已识别出 requests-toolbelt 的安全问题，请通过我们的 安全咨询页面 报告该问题。

提交问题后，您应该收到确认，并且根据要采取的措施，您可能会收到进一步的跟进。

支持的版本

在任何给定的时间，我们将为 默认 分支以及最新版本提供安全支持。

披露流程

当我们意识到 requests-toolbelt 中存在安全漏洞时，我们将努力尽快修复它并发布版本。我们通常会针对任何安全问题发布新版本。

鸣谢

此政策在很大程度上借鉴了 pyca/cryptography，并进行了编辑以表示 requests-toolbelt 维护者提供的保证。