OpenI
/
community
Not watched
1
0
Fork 0
Code
Releases 0 Wiki Activity
Issues 0 Pull Requests 0 Datasets Model Cloudbrain
You can not select more than 25 topics Topics must start with a chinese character,a letter or number, can include dashes ('-') and can be up to 35 characters long.
Branch: master
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from 'master'
${ noResults }
community/security/cve-report_zh_cn.md

8.5 kB
Raw Permalink Blame History

MindSpore安全

MindSpore作为一个同时支持端/边缘/云场景的训练推理框架,在终端/边缘计算/云服务/网络设备/存储设备/5G等各个领域广泛使用,需要满足各场景下的应用安全性。

作为通用的计算框架,MindSpore可以运行在CPU/GPU/Ascend等不同的芯片平台上,用户提供数据/模型作为输入,并得到训练模型或者推理结果。数据和模型作为AI领域的核心资产,对AI系统持续开展安全防护,是非常必要的。

我们也提供了关键组件的安全运行建议:

为了构建更安全的AI框架,需要您一起来参与。

如何向MindSpore社区上报安全问题

如果您发现了疑似安全问题,请您使用疑似安全问题上报模板进行反馈,以便社区漏洞管理团队在能够获得足够详细信息的条件下,尽快确认并修复问题。您的邮件将在1个工作日内得到确认,在7天内对您反馈的疑似安全问题提供更详细的回复,并给出下一步的处理策略。

鉴于安全问题的敏感性,请使用PGP公钥加密后发送。

MindSpore社区安全问题披露流程

收到问题后,我们将会按照如下流程处理安全问题:

  • 收到疑似安全问题后,漏洞管理团队(VMT)立即确认上报信息完整性和问题严重性;
  • 组织社区团队开展技术分析,确认问题细节,并给出分析报告;
  • 确认漏洞并申请CVE,与漏洞上报者开展问题沟通,对齐后续修复&发布计划,准备安全公告(SA);
  • 完成漏洞补丁开发/验证,启动受限披露;
  • 公开发布补丁和安全公告(SA)。

MindSpore社区漏洞管理团队(VMT)

漏洞管理团队(Vulnerability Management Team)由社区内的漏洞管理专家组成,工作职责为协调漏洞从接收到披露的整个过程,包括:

  • 漏洞收集:社区成员和外部研究者发现的疑似安全漏洞,都可以通过mindspore-security@mindspore.cn上报给VMT;
  • 漏洞跟踪处置:VMT会将确认的漏洞录入MindSpore社区,并负责漏洞的确认/修复,期间会与上报者保持有效沟通;
  • 负责任的披露:漏洞得到妥善的修复后,VMT将会以SA的形式将漏洞信息发布到社区。

MindSpore安全公告(SA)

公告 类型 受影响版本 上报人 CVE ID 附加信息
MSSA-2021-008 MindSpore Lite的Tile算子中数组越界访问异常 >= 0.7.0-beta, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33647
MSSA-2021-007 MindSpore Lite的推导shape操作中数组越界访问异常 >= 1.1.0, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33648
MSSA-2021-006 MindSpore Lite的Transpose算子中数组越界访问异常 >= 0.7.0-beta, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33649
MSSA-2021-005 MindSpore Lite的SparseToDense算子中数组越界访问异常 >= 1.2.0, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33650
MSSA-2021-004 MindSpore Lite的DepthwiseConv2D算子parser操作中除零异常 >= 1.1.0, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33651
MSSA-2021-003 MindSpore Lite的Reduce算子中除零异常 >= 0.7.0-beta, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33652
MSSA-2021-002 MindSpore Lite的SpaceToBatch算子中除零异常 >= 0.7.0-beta, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33653
MSSA-2021-001 MindSpore Lite的Split算子中除零异常 >= 0.7.0-beta, < 1.3.0 Wang Xuan(@May) of Qihoo 360 AIVul Team CVE-2021-33654

MindSpore安全说明(SN)

第三方的开源组件部分漏洞需要用户自行修复:

CVE 列表 第三方组件 建议
CVE-2019-18348, CVE-2020-8315, CVE-2020-8492, CVE-2020-27619, CVE-2021-3426, CVE-2021-23336, CVE-2019-20907, CVE-2021-3177 Python 3.7.5
CVE-2019-19911, CVE-2020-5310, CVE-2020-5311, CVE-2020-5312, CVE-2020-5313 Pillow < 6.2.2 升级至最新的Pillow版本(8.2.0)
CVE-2020-10177, CVE-2020-10378, CVE-2020-10379, CVE-2020-10994, CVE-2020-11538 Pillow < 7.1.0 升级至最新的Pillow版本(8.2.0)
CVE-2020-15999 Pillow < 8.0.1 升级至最新的Pillow版本(8.2.0)
CVE-2020-35653, CVE-2020-35654, CVE-2020-35655 Pillow < 8.1.0 升级至最新的Pillow版本(8.2.0)
CVE-2021-25289, CVE-2021-25290, CVE-2021-25291, CVE-2021-25292, CVE-2021-25293, CVE-2021-27921, CVE-2021-27922, CVE-2021-27923 Pillow < 8.1.1 升级至最新的Pillow版本(8.2.0)
CVE-2021-25287, CVE-2021-25288, CVE-2021-28675, CVE-2021-28676, CVE-2021-28677, CVE-2021-28678 Pillow < 8.2.0 升级至最新的Pillow版本(8.2.0)
CVE-2021-34552 Pillow <= 8.2.0 升级至最新的Pillow版本(8.4.0)
CVE-2021-41496 NumPy < 1.19 升级NumPy版本 >= 1.22.0
CVE-2021-34141 NumPy < 1.22.0 升级NumPy版本 >= 1.22.0
CVE-2021-41495 NumPy <= 1.22.0 可参考issue