Jupyter 安全子项目旨在为 Jupyter 用户、运营者和开发者提供安全方面的帮助与建议,并协助处理安全问题。

如何报告漏洞

要报告 Jupyter 子项目 中的安全漏洞,请采取以下两种措施之一:

  1. 在相关代码仓库中开启 GitHub Security Advisory (GHSA)(首选方法)。请参阅 GitHub 关于开启安全建议的说明
  2. 发送电子邮件至 security@jupyter.org 报告漏洞。仅在无法开启 GHSA,或不确定该怎么做时才使用此方法。

我们目前没有漏洞赏金计划,也不对漏洞发现进行奖励。

如果您希望加密您的安全报告,请使用此 PGP 公钥

漏洞报告指南

  • 如果您不确定,联系我们总是最好的选择。
  • 请记住,我们是一个由志愿者维护的开源项目,资源有限。请体谅我们的时间。
  • 避免发送仅使用网站扫描工具生成的、缺乏上下文或对问题理解的基础报告。
    • 示例:我们经常收到关于静态网站(主要是 jupyter.org 和 *.readthedocs.io 上的文档)存在 JavaScript 漏洞或 CORS 配置不当的简单报告。这类问题不会影响静态网站。
    • 如何更有效地报告漏洞的示例
      • 您运行了一个工具,并且因为正在学习而认为存在漏洞。请在邮件正文中包含您的分析以及您对问题的不确定之处。
      • 您是一位安全研究员:请验证工具的发现,并尝试开发一个概念验证(POC)来展示漏洞如何被利用,以及可以解决该问题的修复方案。
  • 避免security@ipython.org 发送群发邮件(尤其是在抄送了数十个来自漏洞赏金计划的其他邮箱时)。
  • 避免在私密渠道询问我们是否有漏洞赏金计划或奖励发现,请在公共论坛讨论此事。

漏洞信息

已知的漏洞使用 Jupyter 的 CVE 供应商 ID 15653 进行跟踪。

GitHub 提供有关易受攻击依赖项的警报。如果您的供应链中包含 Jupyter 项目,这些警报可以帮助您快速、轻松地响应漏洞。

安全文档

多个 Jupyter 项目维护着关于 Jupyter 软件使用或部署的安全相关文档。

社区资源

我们正在努力识别和协调整个 Jupyter 社区及各子项目中的安全工作。Jupyter Security GitHub 代码仓库提供了关于如何参与和贡献的信息。如需讨论,请使用 Jupyter Discourse 服务器上的 安全专题

供应商评估

Jupyter 无法提供或填写“计划风险评估”、“Hecvat”、“Vpat”及类似的供应商评估问卷。

您很可能是在联系 Jupyter 安全团队,要求填写关于您的 Jupyter “供应商”的安全最佳实践问卷并评估 Jupyter “产品”后,被引导至此部分的。

Jupyter 团队和 Jupyter 安全团队不是供应商,也不能充当供应商。要成为供应商,Jupyter 需要与您建立合同关系,而我们并没有。

您的问卷很可能还会询问您的“供应商”如何存储您的信息(用户信息、账单信息、联系方式等);谁有权访问这些信息;以及他们如何接受审查等。Jupyter 团队没有任何联系方式或账单信息;我们也不收集、存储或访问任何关于您的 Jupyter 用户如何使用 Jupyter 或他们在 Jupyter 中做什么的信息;Jupyter 团队也不知道是谁安装了 Jupyter。

  • 如果您使用 Jupyter 的服务提供商,那么他们才是您的供应商,可以回答这些问题。

  • 如果您自行托管 Jupyter,那么应由您的 IT 团队来填写这些评估,因为所有数据都由您的 IT 团队控制。

  • 如果您仍然需要供应商评估,我们建议您联系众多提供 Jupyter 支持的公司之一;出于公平考虑,我们很遗憾不能为您提供具体名称。