安全指南

报告安全问题

Apache软件基金会采取非常积极的立场，致力于消除其产品中的安全问题和拒绝服务攻击。我们强烈建议人们在公开论坛披露这些问题之前，先向我们的私人安全邮件列表报告。

请注意，安全邮件列表仅用于报告未公开的安全漏洞及管理修复此类漏洞的流程。我们无法在此地址接收常规的错误报告或其他查询。所有发送至此地址且与我们源代码中未公开的安全问题无关的邮件将被忽略。 关于以下问题的咨询：某个漏洞是否适用于您的特定应用程序、获取已公布漏洞的更多信息、补丁的可用性及/或新版本的发布，应提交至用户讨论论坛。

私人安全邮件地址是：security@apache.org。 欢迎随时查阅Apache安全指南。

安全模型

TVM生成的默认二进制文件仅依赖于最小化的运行时API。 运行时依赖于系统库中有限的一组系统调用（例如malloc）。

TVM RPC服务器默认用户是可信的，需要在可信网络环境和加密通道中使用。它允许向服务器写入任意文件，并为任何能访问此API的人提供完整的远程代码执行能力。

AutoTVM在追踪器、服务器和客户端之间的数据交换采用明文传输。 建议在可信网络环境或加密通道中使用这些功能。