icon温馨提醒 : 为提升您的浏览体验 , 推荐您使用Chrome浏览本网站。icon

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

EN

MindSpore安全

MindSpore作为一个同时支持端/边缘/云场景的训练推理框架,在终端/边缘计算/云服务/网络设备/存储设备/5G等各个领域广泛使用,需要满足各场景下的应用安全性。

作为通用的计算框架,MindSpore可以运行在CPU/GPU/Ascend等不同的芯片平台上,用户提供数据/模型作为输入,并得到训练模型或者推理结果。数据和模型作为AI领域的核心资产,对AI系统持续开展安全防护,是非常必要的。

我们也提供了关键组件的安全运行建议:

为了构建更安全的AI框架,需要您一起来参与。

如何向MindSpore社区上报安全问题

如果您发现了疑似安全问题,请您使用疑似安全问题上报模板进行反馈,以便社区漏洞管理团队在能够获得足够详细信息的条件下,尽快确认并修复问题。您的邮件将在1个工作日内得到确认,在7天内对您反馈的疑似安全问题提供更详细的回复,并给出下一步的处理策略。

鉴于安全问题的敏感性,请使用PGP公钥加密后发送。

MindSpore社区安全问题披露流程

收到问题后,我们将会按照如下流程处理安全问题:

  • 收到疑似安全问题后,漏洞管理团队(VMT)立即确认上报信息完整性和问题严重性;
  • 组织社区团队开展技术分析,确认问题细节,并给出分析报告;
  • 确认漏洞并申请CVE,与漏洞上报者开展问题沟通,对齐后续修复&发布计划,准备安全公告(SA);
  • 完成漏洞补丁开发/验证,启动受限披露;
  • 公开发布补丁和安全公告(SA)。

MindSpore社区漏洞管理团队(VMT)

漏洞管理团队(Vulnerability Management Team)由社区内的漏洞管理专家组成,工作职责为协调漏洞从接收到披露的整个过程,包括:

  • 漏洞收集:社区成员和外部研究者发现的疑似安全漏洞,都可以通过mindspore-security@mindspore.cn上报给VMT;
  • 漏洞跟踪处置:VMT会将确认的漏洞录入MindSpore社区,并负责漏洞的确认/修复,期间会与上报者保持有效沟通;
  • 负责任的披露:漏洞得到妥善的修复后,VMT将会以SA的形式将漏洞信息发布到社区。

MindSpore安全公告(SA)

MindSpore安全说明(SN)

第三方的开源组件部分漏洞需要用户自行修复:

MindSpore 1.2

CVE 列表第三方组件建议
CVE-2019-18348, CVE-2020-8315, CVE-2020-8492, CVE-2020-27619, CVE-2021-3426, CVE-2021-23336Python 3.7.5
CVE-2019-19911, CVE-2020-5310, CVE-2020-5311, CVE-2020-5312, CVE-2020-5313Pillow < 6.2.2升级至最新的Pillow版本(8.2.0)
CVE-2020-10177, CVE-2020-10378, CVE-2020-10379, CVE-2020-10994, CVE-2020-11538Pillow < 7.1.0升级至最新的Pillow版本(8.2.0)
CVE-2020-15999Pillow < 8.0.1升级至最新的Pillow版本(8.2.0)
CVE-2020-35653, CVE-2020-35654, CVE-2020-35655,Pillow < 8.1.0升级至最新的Pillow版本(8.2.0)
CVE-2021-25289, CVE-2021-25290, CVE-2021-25291, CVE-2021-25292, CVE-2021-25293, CVE-2021-27921, CVE-2021-27922, CVE-2021-27923Pillow < 8.1.1升级至最新的Pillow版本(8.2.0)
CVE-2021-25287, CVE-2021-25288, CVE-2021-28675, CVE-2021-28676, CVE-2021-28677, CVE-2021-28678Pillow < 8.2.0升级至最新的Pillow版本(8.2.0)