安全指南

安全问题报告

Apache 软件基金会对其产品中的安全问题和拒绝服务攻击（DoS）采取非常积极的应对态度。我们强烈建议大家在将此类问题公开到公共论坛之前，，先将其报告至我们的私密安全邮件列表。

请注意，安全邮件列表仅用于报告尚未公开的安全漏洞以及协调修复这些漏洞的过程。我们无法通过该地址接受常规的漏洞报告或其他咨询。凡是与我们源码中未公开的安全问题无关的邮件将被忽略。关于以下问题：

• 某个漏洞是否影响您的具体应用
• 获取已公开漏洞的更多信息
• 补丁或新版本的可用性

应当在用户讨论论坛中进行咨询。

私密安全报告的邮箱地址是：security@apache.org。您也可以参考 Apache 安全指南 了解更多信息。

安全模型

TVM 默认生成的二进制文件仅依赖最小化的运行时 API。运行时只依赖系统库中一小部分系统调用（如 malloc）。

TVM 的 RPC 服务器默认假设用户是可信的，因此应在可信的网络环境和加密通道中使用。该服务允许向服务器写入任意文件，并为所有能访问该 API 的用户提供完整的远程代码执行能力。

AutoTVM 在 tracker、server 和 client 之间的数据交换是明文传输。因此建议仅在可信网络或加密通道下使用这些组件。