The web framework for perfectionists with deadlines.

Dokumentasi

Kebijakan keamanan Django

Tim pengembangan Django memiliki komitmen yang kuat untuk bertanggungjawab melaporkan dan menyingkap terbitan keamanan terkait. Dengan demikian, kami telah memungut dan mengikuti sekumpulan kebijakan yang menyesuaikan ke yang sesuai dan diarahkan kedepan mengizinkan kami untuk mengirim pembaharuan keamanan tepat waktu ke penyaluran resmi Django, sama halnya ke penyaluran pihak ketiga.

Melaporkan masalah keamanan

Versi pendek: seilahkan laporkan masalah keamanan dengan menyurel security@djangoproject.com.

Kebanyakan kesalahan biasa di Django dilaporkan ke our public Trac instance, tetapi karena sifat sensitif dari masalah keamanan, kami menanyakan bahwa mereka tidak dilaporkan ke umum dalam cara ini.

Malahan, jika anda percaya anda telah menemukan sesuatu di Django yang mempunyai pengaruh keamanan, harap kirim gambaran dari masalah melalui surel ke security@djangoproject.com. Surat terkirim ke alamat itu menggapai security team.

Once you've submitted an issue via email, you should receive an acknowledgment from a member of the security team within 3 working days. After that, the security team will begin their analysis. Depending on the action to be taken, you may receive followup emails. It can take several weeks before the security team comes to a conclusion. There is no need to chase the security team unless you discover new, relevant information. All reports aim to be resolved within the industry-standard 90 days. Confirmed vulnerabilities with a high severity level will be addressed promptly.

Mengirim laporan dienkripsi

Jika anda ingin mengirim sebuah surel terenkripsi (pilihan), ID kunci umum untuk security@djangoproject.com adalah 0xfcb84b8d1d17f80b, dan kunci umum ini tersedia dari kebanyakan peladen kunci umum digunakan.

Reporting guidelines

Include a runnable proof of concept

Please privately share a minimal Django project or code snippet that demonstrates the potential vulnerability. Include clear instructions on how to set up, run, and reproduce the issue.

Please do not attach screenshots of code.

User input must be sanitized

Reports based on a failure to sanitize user input are not valid security vulnerabilities. It is the developer's responsibility to properly handle user input. This principle is explained in our security documentation.

For example, the following is not considered valid because email has not been sanitized:

from django.core.mail import send_mail
from django.http import JsonResponse


def my_proof_of_concept(request):
    email = request.GET.get("email", "")
    send_mail("Email subject", "Email body", email, ["[email protected]"])
    return JsonResponse(status=200)

Developers must always validate and sanitize input before using it. The correct approach would be to use a Django form to ensure email is properly validated:

from django import forms
from django.core.mail import send_mail
from django.http import JsonResponse


class EmailForm(forms.Form):
    email = forms.EmailField()


def my_proof_of_concept(request):
    form = EmailForm(request.GET)
    if form.is_valid():
        send_mail(
            "Email subject",
            "Email body",
            form.cleaned_data["email"],
            ["[email protected]"],
        )
        return JsonResponse(status=200)
    return JsonResponse(form.errors, status=400)

Similarly, as Django's raw SQL constructs (such as extra() and RawSQL expression) provide developers with full control over the query, they are insecure if user input is not properly handled. As explained in our security documentation, it is the developer's responsibility to safely process user input for these functions.

For instance, the following is not considered valid because query has not been sanitized:

from django.shortcuts import HttpResponse
from .models import MyModel


def my_proof_of_concept(request):
    query = request.GET.get("query", "")
    q = MyModel.objects.extra(select={"id": query})
    return HttpResponse(q.values())

Request headers and URLs must be under 8K bytes

To prevent denial-of-service (DoS) attacks, production-grade servers impose limits on request header and URL sizes. For example, by default Gunicorn allows up to roughly:

Other web servers, such as Nginx and Apache, have similar restrictions to prevent excessive resource consumption.

Consequently, the Django security team will not consider reports that rely on request headers or URLs exceeding 8K bytes, as such inputs are already mitigated at the server level in production environments.

runserver should never be used in production

Django's built-in development server does not enforce these limits because it is not designed to be a production server.

The request body must be under 2.5 MB

The DATA_UPLOAD_MAX_MEMORY_SIZE setting limits the default maximum request body size to 2.5 MB.

As this is enforced on all production-grade Django projects by default, a proof of concept must not exceed 2.5 MB in the request body to be considered valid.

Issues resulting from large, but potentially reasonable setting values, should be reported using the public ticket tracker for hardening.

Code under test must feasibly exist in a Django project

The proof of concept must plausibly occur in a production-grade Django application, reflecting real-world scenarios and following standard development practices.

Django contains many private and undocumented functions that are not part of its public API. If a vulnerability depends on directly calling these internal functions in an unsafe way, it will not be considered a valid security issue.

Content displayed by the Django Template Language must be under 100 KB

The Django Template Language (DTL) is designed for building the content needed to display web pages. In particular its text filters are meant for that kind of usage.

For reference, the complete works of Shakespeare have about 3.5 million bytes in plain-text ASCII encoding. Displaying such in a single request is beyond the scope of almost all websites, and so outside the scope of the DTL too.

Text processing is expensive. Django makes no guarantee that DTL text filters are never subject to degraded performance if passed deliberately crafted, sufficiently large inputs. Under default configurations, Django makes it difficult for sites to accidentally accept such payloads from untrusted sources, but, if it is necessary to display large amounts of user-provided content, it’s important that basic security measures are taken.

User-provided content should always be constrained to known maximum length. It should be filtered to remove malicious content, and validated to match expected formats. It should then be processed offline, if necessary, before being displayed.

Proof of concepts which use over 100 KB of data to be processed by the DTL will be considered invalid.

Bagaimana Django menilai sebuah laporan

These are criteria used by the security team when evaluating whether a report requires a security release:

  • The vulnerability is within a supported version of Django.

  • The vulnerability does not depend on manual actions that rely on code external to Django. This includes actions performed by a project's developer or maintainer using developer tools or the Django CLI. For example, attacks that require running management commands with uncommon or insecure options do not qualify.

  • The vulnerability applies to a production-grade Django application. This means the following scenarios do not require a security release:

    • Exploits that only affect local development, for example when using runserver.

    • Exploits which fail to follow security best practices, such as failure to sanitize user input. For other examples, see our security documentation.

    • Exploits in AI generated code that do not adhere to security best practices.

The security team may conclude that the source of the vulnerability is within the Python standard library, in which case the reporter will be asked to report the vulnerability to the Python core team. For further details see the Python security guidelines.

On occasion, a security release may be issued to help resolve a security vulnerability within a popular third-party package. These reports should come from the package maintainers.

If you are unsure whether your finding meets these criteria, please still report it privately by emailing security@djangoproject.com. The security team will review your report and recommend the correct course of action.

Versi didukung

Pada waktu tertentu, tim Django menyediakan dukungan keamanan resmi untuk beberapa versi dari Django:

  • The main development branch, hosted on GitHub, which will become the next major release of Django, receives security support. Security issues that only affect the main development branch and not any stable released versions are fixed in public without going through the disclosure process.

  • Dua paling terakhir rangkaian terbitan Django menerima dukungan keamanan. Sebagai contoh, selama siklus pengembangan membawa ke terbitan Django 1.5, dukungan akan disediakan untuk Django 1.4 dan Django 1.3. Atas terbitan Django 1.5, dukungan keamanan Django 1.3 akan berakhir.

  • Long-term support release akan menerima pembaharuan keamanan untuk masa ditentukan.

Ketika terbitan baru dikeluarkan untuk alasan keamanan, pemberitahuan yang mendampingi akan menyertakan daftar dari versi terpengaruh. Daftar ini terdiri hanya versi didukung Django: versi terlama mungkin juga terpengaruh, tetapi kami tidak menyelidiki untuk menentukan itu, dan tidak mengeluarkan tambalan atau terbitan baru untuk versi itu.

Security issue severity levels

The severity level of a security vulnerability is determined by the attack type.

Severity levels are:

  • Tinggi

    • Penjalanan kdoe terpencil

    • Suntikan SQL

  • Sedang

    • Cross site scripting (XSS)

    • Cross site request forgery (CSRF)

    • Serangan denial-of-service

    • Otentifikasi rusak

  • Rendah

    • Pembongkaran data sensitif

    • Pengelolaan sesi rusak

    • Tidak sah pengalihan/penerusan

    • Masalah-masalah membutuhkan pilihan konfigurasi tidak umum

Bagaimana Django menyingkap masalah keamanan

SemVer membuatnya mudah untuk melihat sekilas bagaimana terbitan sesuai dengan satu sama lain. Itu juga membantu mengantisipasi ketika kesesuaian shim akan dipindahkan. Itu tidak murni bentuk dari SemVer dimana setiap terbitan fitur akan berlanjut untuk memiliki sedikit ketidaksesuaian kebelakang terdokumentasi dimana jalur pengusangan tidak mungkin atau tidak sebanding dengan biaya. Juga, pengusangan dimulai dalam terbitan LTS (X.2) akan dijatuhkan di terbitan non-dot-zero (Y.1) untuk mengakomodasi kebijakan kami dari menjaga pengusangan shim untuk setidaknya dua terbitan fitur. Baca di bagian selanjutnya untuk contoh.

Lebih kurang satu minggu sebelum penutupan umum, kami mengirim dua pemberitahuan:

First, we notify django-announce of the date and approximate time of the upcoming security release, as well as the severity of the issues. This is to aid organizations that need to ensure they have staff available to handle triaging our announcement and upgrade Django as needed.

Kedua, kami memberitahu sebuah daftar dari people and organizations, utamanya disusun dari penjaja sistem-operasi dan penyalur lain dari Django. Surel ini ditandatangi dengan kunci PGP dari seseorang dari Django's release team dan terdiri dari:

  • Gambaran lengkap dari masalah dan versi terpengaruh dari Django.

  • Langkah-langkah yang akan kami ambil untuk memperbaiki masalah.

  • Tambalan, jika ada, yang akan diterapkan ke Django.

  • Tanggal dimana tim Django akan memberlakukan tambalan ini, masalah terbitan baru dan menyingkap secara terbuka masalah.

Pada hari penyingkapan, kami akan mengambil langkah-langkah berikut:

  1. Berlakukan tambalan sesuai pada kode dasar Django

  2. Issue the relevant release(s), by placing new packages on the Python Package Index and on the djangoproject.com website, and tagging the new release(s) in Django's git repository.

  3. Tempatkan sebuah masukan umum pada the official Django development blog, menggambarkan masalah dan pemecahan secara rinci, menunjuk pada tambalan terkait dan terbitan baru, dan mempercayakan melaporkan masalah (jika pelapor berharap untuk dikenali di depan umum).

  4. Tempatkan sebuah pemberitahuan ke django-announce dan daftar penyuratan oss-security@lists.openwall.com yang menaut ke tempatan blog.

Jika masalah yang dilaporkan dipercaya menjadi khususnya sesitif waktu -- disebabkan oleh pemanfaatan di alam liar, sebagai contoh -- waktu diantara pemberitahuan lanjutan dan penyingkapan umum mungkin dianggap mempersingkat.

Tambahannya, jika kami mempunyai alasan untuk dipercaya bahwa sebuah masalah dilaporkan ke kami mempengaruhi kerangka kerja lain atau alat-alat di ekosistem Python/jaringan, kami mungkin secara pribadi menghubungi dan mengobrol masalah itu dengan perawat yang sesuai, dan mengkoordinasikan penyingkapan kami sendiri dan pemecahan dengan mereka.

Tim Django juga merawat archive of security issues disclosed in Django.

Siapa menerima pemberitahuan lanjut

Daftar penuh dari orang dan organisasi yang menerima pemberitahuan lanjutan dari masalah keamanan adalah tidak dan tidak akan dibuat umum.

Kami juga bermaksud menjaga daftar ini sekecil efektif mungkin, agar pengelolaan aliran lebih baik dari informasi rahasia sebelum diungkapkan. Dengan demikian, daftar pemberitahuan kami tidak hanya daftar dari pengguna Django, dan menjadi pengguna Django bukan alasan cukup untuk ditempatkan pada daftar pemberitahuan.

Dalam istilah luas, penerima dari pemberitahuan keamanan jatih kedalam tiga kelompok:

  1. Penjaja sistem-operasi dan penyalur lainnya Django yang menyediakan umum-pantas (yaitu, bukan alamat surel pribadi sendiri) alamat kontak untuk melaporkan masalah dengan paket Django mereka, atau untuk pelaporan keamanan umum. Dalam kasus lain, seperti alamat harus tidak meneruskan ke daftar penyuratan umum atau pelacak kesalahan. Alamat yang meneruskan ke surel pribadi dari sebuah perawat sendiri atau kontak tanggapan-keamanan dapat diterima, meskipun pelacak keamanan pribadi atau kelompok tanggapan-keamanan sangat kuat dipilih.

  2. Pada dasar kasus-per-kasus, perawat paket perorangan yang telah menunjukkan tanggung jawab pada menanggapi dan bertanggungjawab bertindak pada pemberitahuan ini.

  3. Pada berdasarkan kasus-per-kasus, di penilaian tim pengembangan Django, butuh dibuat waspada dari masalah keamanan tertunda. Khususnya, keanggotaan di kelompok ini akan terdiri dari beberapa terbesar dan/atau kebanyakan terkenda dampaknya pengguna diketahui atau penyalur Django, dan akan membutuhkan kemampuan pertunjukan untuk menerima tanggung jawab, tetap percaya diri dan bertindak pada pemberitahuan ini.

Entitas audit dan pemindaian keamanan

As a policy, we do not add these types of entities to the notification list.

Meminta pemberitahuan

Jika anda percaya bahwa anda, atau organisasi anda berwenang untuk mewakili, jatuh kedalam satu dari kelompok terdaftar diatas, anda dapat meminta ditambahkan ke daftar pemberitahuan Django dengan mensurelkan security@djangoproject.com. Silahkan gunakan subjek baris "Security notification request".

Permintaan anda harus menyertakan informasi berikut:

  • Nama panjang anda, nama asli dan nama organisasi anda wakili, jika berlaku, sama halnya peran anda dalam organisasi itu.

  • Penjelasan rinci dari bagaimana anda atau organisasi anda cocok setidaknya satu kumpulan dari kriteria terdaftar diatas.

  • Penjelasan rinci dari mengapa anda sedang meminta pemberitahuan keamanan. Kembali, harap mengingat bahwa ini bukan daftar sederhana dari Django, dan kebanyakan pengguna harus berlangganan pada django-announce untuk menerima pemberitahuan lebih lanjut ketika terbitan keamanan akan terjadi, tanpa rincian dari masalah, daripada rincian pemberitahuan.

  • Alamat surel anda ingin miliki ditambahkan ke daftar pemberitahuan kami.

  • Sebuah penjelasan dari siapa yang akan menerima/meninjau surat terkirim ke alamat itu, sama halnya informasi mengenai tindakan otomatis yang akan diambil (yaitu, mengisi masalah rahasia di pelacak kesalahan).

  • Untuk perorangan, ID dari kunci umum terhubung dengan alamat anda yang dapat digunakan untuk memeriksa surel diterima dari anda dan surel enkripsi dikirim ke anda, seperti kebutuhan.

Sekali diajukan, permintaan anda akan dianggap oleh tim pengembang Django; anda akan menerima balasan memberitahu anda dari hasil dari permintaan anda dalam 30 hari.

Silahkan juga ingat bahwa untuk setiap perseorangan atau oranisasi, menerima pemberitahuan keamanan adalah hak yang diberikan pada kebijakan dari tim pengembangan Django, dan bahwa hak ini dapat diambil kapanpun, dengan atau tanpa penjelasan.

Menyediakan semua informasi dibutuhkan

A failure to provide the required information in your initial contact will count against you when making the decision on whether or not to approve your request.

Back to Top

Additional Information

Support Django!

Support Django!

Contents

Getting help

FAQ
Try the FAQ — it's got answers to many common questions.
Index, Module Index, or Table of Contents
Handy when looking for specific information.
Django Discord Server
Join the Django Discord Community.
Official Django Forum
Join the community on the Django Forum.
Ticket tracker
Report bugs with Django or Django documentation in our ticket tracker.

Offline (Django 5.1): HTML | PDF | ePub
Provided by Read the Docs.