タイムライン

問題を報告すると、プロジェクトメンバーの1人が2日以内に外部であなたに返信します。 ほとんどの場合、応答はより速く、通常は12時間以内になります。 この最初の応答は、少なくともレポートの受信を確認します。

問題を迅速に再現できた場合、最初の対応には問題の確認も含まれます。 そうでない場合は、再現シナリオに関する詳細情報を求められることがよくあります。

私たちの目標は、最初の開示から2週間以内にリリースされた脆弱性を修正することです。 これには、より成熟した修正を準備できる一方で機能を単に無効にする暫定リリースの出荷が含まれる可能性がありますが、ほとんどの場合、完全なリリースをできるだけ早く出荷することを意味します。

修正プロセス全体を通じて、修正の進捗状況を常に把握します。 修正の準備ができたら、修正があると思われることを通知します。 特に再現シナリオに自信がない場合は、修正によって環境の問題が解決することを確認するように求められることがよくあります。

この時点で、リリースの準備をします。 必要に応じてCVE番号を取得し、発見に対する完全なクレジットを提供します。 また、発売予定日も決定し、お知らせします。 このリリース日は常に平日になります。

この時点で、主要なダウンストリームパッケージャーに連絡して、セキュリティ関連のパッチが差し迫っていることを通知し、手配できるようにします。 さらに、これらのパッケージャーには、ダウンストリームパッケージを迅速にリリースできるように、目的のパッチが事前に提供されます。 現在、公開リリースに先立ってに積極的に連絡している人のリストは次のとおりです。

• Pythonメンテナンスチーム、Red Hat（ [email protected] ）
• Daniele Tricoli、Debian（@eriol）

準備に十分な時間を確保するために、リリース予定日の少なくとも1週間前にこれらの個人に通知します。 このリストに載るべきだと思われる場合は、この記事の上部にあるメールアドレスの1つでメンテナの1人に知らせてください。

リリース日に、問題を説明し、クレジットを付与する更新された変更ログとともに、パッチを公開リポジトリにプッシュします。 次に、パッチを含むPyPIリリースを発行します。

この時点で、リリースを公開します。 これには、メーリングリストへのメール、ツイート、およびコアチームが利用できるその他すべての通信メカニズムが含まれます。

また、アップグレードがオプションでない場合に、他のディストリビューターやユーザーが自分のバージョンのリクエストに簡単にパッチを適用できるようにするための修正が含まれているコミットについても明示的に説明します。