安全

Jupyter 安全子專案旨在為 Jupyter 使用者、運營者和開發者提供安全方面的幫助與建議，並協助處理安全問題。

如何報告漏洞

要報告 Jupyter 子專案 中的安全漏洞，請採取以下兩種措施之一：

1. 在相關程式碼倉庫中開啟 GitHub Security Advisory (GHSA)（首選方法）。請參閱 GitHub 關於開啟安全建議的說明。
2. 傳送電子郵件至 security@jupyter.org 報告漏洞。僅在無法開啟 GHSA，或不確定該怎麼做時才使用此方法。

我們目前沒有漏洞賞金計劃，也不對漏洞發現進行獎勵。

如果您希望加密您的安全報告，請使用此 PGP 公鑰。

漏洞報告指南

• 如果您不確定，聯絡我們總是最好的選擇。
• 請記住，我們是一個由志願者維護的開源專案，資源有限。請體諒我們的時間。
• 避免傳送僅使用網站掃描工具生成的、缺乏上下文或對問題理解的基礎報告。
  • 示例：我們經常收到關於靜態網站（主要是 jupyter.org 和 *.readthedocs.io 上的文件）存在 JavaScript 漏洞或 CORS 配置不當的簡單報告。這類問題不會影響靜態網站。
  • 如何更有效地報告漏洞的示例
    • 您運行了一個工具，並且因為正在學習而認為存在漏洞。請在郵件正文中包含您的分析以及您對問題的不確定之處。
    • 您是一位安全研究員：請驗證工具的發現，並嘗試開發一個概念驗證（POC）來展示漏洞如何被利用，以及可以解決該問題的修復方案。
• 避免向 security@ipython.org 傳送群發郵件（尤其是在抄送了數十個來自漏洞賞金計劃的其他郵箱時）。
• 避免在私密渠道詢問我們是否有漏洞賞金計劃或獎勵發現，請在公共論壇討論此事。

漏洞資訊

已知的漏洞使用 Jupyter 的 CVE 供應商 ID 15653 進行跟蹤。

GitHub 提供有關易受攻擊依賴項的警報。如果您的供應鏈中包含 Jupyter 專案，這些警報可以幫助您快速、輕鬆地響應漏洞。

安全文件

多個 Jupyter 專案維護著關於 Jupyter 軟體使用或部署的安全相關文件。

• jupyter-server
• jupyterhub

社群資源

我們正在努力識別和協調整個 Jupyter 社群及各子專案中的安全工作。Jupyter Security GitHub 程式碼倉庫提供了關於如何參與和貢獻的資訊。如需討論，請使用 Jupyter Discourse 伺服器上的 安全專題。

供應商評估

Jupyter 無法提供或填寫“計劃風險評估”、“Hecvat”、“Vpat”及類似的供應商評估問卷。

您很可能是在聯絡 Jupyter 安全團隊，要求填寫關於您的 Jupyter “供應商”的安全最佳實踐問卷並評估 Jupyter “產品”後，被引導至此部分的。

Jupyter 團隊和 Jupyter 安全團隊不是供應商，也不能充當供應商。要成為供應商，Jupyter 需要與您建立合同關係，而我們並沒有。

您的問卷很可能還會詢問您的“供應商”如何儲存您的資訊（使用者資訊、賬單資訊、聯絡方式等）；誰有權訪問這些資訊；以及他們如何接受審查等。Jupyter 團隊沒有任何聯絡方式或賬單資訊；我們也不收集、儲存或訪問任何關於您的 Jupyter 使用者如何使用 Jupyter 或他們在 Jupyter 中做什麼的資訊；Jupyter 團隊也不知道是誰安裝了 Jupyter。

• 如果您使用 Jupyter 的服務提供商，那麼他們才是您的供應商，可以回答這些問題。

• 如果您自行託管 Jupyter，那麼應由您的 IT 團隊來填寫這些評估，因為所有資料都由您的 IT 團隊控制。

• 如果您仍然需要供應商評估，我們建議您聯絡眾多提供 Jupyter 支援的公司之一；出於公平考慮，我們很遺憾不能為您提供具體名稱。