Django Weblog: Недавние тенденции в работе команды безопасности Django

Django недавно выпустил обновления безопасности, устраняющие шесть уязвимостей различной степени серьезности. Большинство сообщенных уязвимостей являются вариациями ранее устраненных проблем, сосредоточенными на аналогичных участках кода или конфигурациях. Команда переключила свое внимание с обнаружения на оценку масштаба и влияния этих вариаций. Недавние выпуски включали исправление уязвимости перечисления пользователей низкой степени серьезности и две потенциальные уязвимости отказа в обслуживании, связанные с большими, некорректными входными данными. Также были исправлены три уязвимости внедрения SQL-кода, подчеркивающие риски в неотфильтрованных пользовательских данных и управляемых пользователем псевдонимах столбцов. Многие отчеты дублируют существующие или уже устраненные проблемы, потенциально сгенерированные с использованием LLM. Выпуски безопасности нарушают рабочие процессы как пользователей, так и разработчиков, что влечет за собой затраты для сообщества. Альтернативы для решения этих проблем включают перепроектирование проблемных областей и переоценку ценности, придаваемой существующим прецедентам безопасности. Команда Django тщательно взвешивает преимущества своего последовательного подхода к безопасности против связанных с этим затрат. Они призывают к ответственной отправке отчетов о безопасности.