From d886a7de7d1851f974de63153978c117da6f8c4d Mon Sep 17 00:00:00 2001 From: adamasW Date: Tue, 24 Jun 2025 17:34:18 +0800 Subject: [PATCH] docs(SECURITYNOTE.md): add SECURITYNOTE.md docs(SECURITYNOTE.md): add SECURITYNOTE.md docs(SECURITYNOTE.md): add SECURITYNOTE.md --- SECURITYNOTE.md | 61 +++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 61 insertions(+) create mode 100644 SECURITYNOTE.md diff --git a/SECURITYNOTE.md b/SECURITYNOTE.md new file mode 100644 index 0000000..3ae92d7 --- /dev/null +++ b/SECURITYNOTE.md @@ -0,0 +1,61 @@ +# Triton Ascend 安全声明 + +## 系统安全加固 + +建议用户在系统中配置开启ASLR(级别2 ),又称**全随机地址空间布局随机化**,可参考以下方式进行配置: + + echo 2 > /proc/sys/kernel/randomize_va_space + +## 运行用户建议 + +出于安全性及权限最小化角度考虑,不建议使用root等管理员类型账户使用triton_ascend。 + +## 文件权限控制 + +1. 建议用户对个人的隐私数据、商业资产等敏感文件做好权限控制等安全措施,设定的权限建议参考[文件权限参考](#文件权限参考)进行设置。 + +2. 用户安装和使用过程需要做好权限控制,建议参考[文件权限参考](#文件权限参考)进行设置。 + + +##### 文件权限参考 + +| 类型 | Linux权限参考最大值 | +|----------------------------------- |-----------------------| +| 用户主目录 | 750(rwxr-x---) | +| 程序文件(含脚本文件、库文件等) | 550(r-xr-x---) | +| 程序文件目录 | 550(r-xr-x---) | +| 配置文件 | 640(rw-r-----) | +| 配置文件目录 | 750(rwxr-x---) | +| 日志文件(记录完毕或者已经归档) | 440(r--r-----) | +| 日志文件(正在记录) | 640(rw-r-----) | +| 日志文件目录 | 750(rwxr-x---) | +| Debug文件 | 640(rw-r-----) | +| Debug文件目录 | 750(rwxr-x---) | +| 临时文件目录 | 750(rwxr-x---) | +| 维护升级文件目录 | 770(rwxrwx---) | +| 业务数据文件 | 640(rw-r-----) | +| 业务数据文件目录 | 750(rwxr-x---) | +| 密钥组件、私钥、证书、密文文件目录 | 700(rwx------) | +| 密钥组件、私钥、证书、加密密文 | 600(rw-------) | +| 加解密接口、加解密脚本 | 500(r-x------) | + + +## 构建安全声明 + +triton_ascend支持源码编译安装,在编译时会下载依赖第三方库并执行构建shell脚本,在编译过程中会产生临时程序文件和编译目录。用户可根据需要自行对源代码目录内的文件进行权限管控降低安全风险。 + +## 公网地址声明 + +在triton_ascend的配置文件和脚本中存在[公网地址](#公网地址) + +##### 公网地址 +| 类型 | 开源代码地址 | 文件名 | 公网IP地址/公网URL地址/域名/邮箱地址 | 用途说明 | +|----------|------------------------------------------------------------------------------------------------|-------------------------------------------|------------------------------------------------------------------------------------------------------|-----------------------------------| +| 自研 | 不涉及 | docker/devdocker/setup_triton-ascend_dev.sh | https://gitee.com/ascend/triton-ascend.git | triton_ascend源码仓地址 | +| 自研 | 不涉及 | ascend/examples/generalization_cases/run_daily.sh & scripts/prepare_build.sh | https://gitee.com/shijingchang/triton.git | 构建依赖代码仓 | +| 自研 | 不涉及 | setup.py | https://gitee.com/ascend/triton-ascend/ | triton_ascend源码仓地址 | +| 开源引入 | https://gitclone.com | scripts/prepare_build.sh | https://gitclone.com/github.com/llvm/llvm-project.git | 依赖的llvm源码仓 | +| 开源引入 | https://repo.huaweicloud.com | scripts/prepare_build.sh | https://repo.huaweicloud.com/repository/pypi/simple | 用于配置pybind11下载连接 | +| 开源引入 | https://pypi.tuna.tsinghua.edu.cn | docker/devdocker/triton-ascend_dev.dockerfile | https://pypi.tuna.tsinghua.edu.cn/simple | python pip源配置 | +| 开源引入 | https://repo.anaconda.com | docker/devdocker/triton-ascend_dev.dockerfile | https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-${ARCH}.sh | anaconda下载链接 | +| 开源引入 | https://oaitriton.blob.core.windows.net | setup.py |https://oaitriton.blob.core.windows.net/public/llvm-builds/{name}.tar.gz | 下载预编译的LLVM镜像 | \ No newline at end of file -- Gitee