MindStudio Insight安全声明
系统安全加固
- MindStudio Insight为开发调试工具,不应在生产环境使用。
- 为确保安全性,建议整包使用MindStudio Insight工具。如果需要二次开发,请自行关注并处理可能引入的安全风险。
- MindStudio Insight为开发阶段工具,不建议通过X协议转发进行使用,建议在本地启动使用。
- MindStudio Insight为本地工具,默认安全,如果需要打开端口,请注意远程通信带来的安全风险。
运行用户建议
出于安全考虑,在Linux和macOS系统上,禁止使用root用户启动MindStudio Insight工具。如果必须使用root用户启动,在确保使用环境安全的前提下,需执行./MindStudio-Insight --allow-root进行启动。
文件权限控制
在Linux或Unix环境下,使用MindStudio Insight前,请确认该环境中当前用户的umask设置为“0027”或更严格,以确保生成的文件(例如pip安装依赖后的文件等)符合最小权限安全要求。
文件权限参考
| 类型 | Linux权限参考最大值 |
|---|---|
| 用户主目录 | 750(rwxr-x---) |
| 程序文件(含脚本文件、库文件等) | 550(r-xr-x---) |
| 程序文件目录 | 550(r-xr-x---) |
| 配置文件 | 640(rw-r-----) |
| 配置文件目录 | 750(rwxr-x---) |
| 日志文件(记录完毕或者已经归档) | 440(r--r-----) |
| 日志文件(正在记录) | 640(rw-r-----) |
| 日志文件目录 | 750(rwxr-x---) |
| Debug文件 | 640(rw-r-----) |
| Debug文件目录 | 750(rwxr-x---) |
| 临时文件目录 | 750(rwxr-x---) |
| 维护升级文件目录 | 770(rwxrwx---) |
| 业务数据文件 | 640(rw-r-----) |
| 业务数据文件目录 | 750(rwxr-x---) |
| 密钥组件、私钥、证书、密文文件目录 | 700(rwx------) |
| 密钥组件、私钥、证书、加密密文 | 600(rw-------) |
| 加解密接口、加解密脚本 | 500(r-x------) |
漏洞安全声明
- 华为公司对产品漏洞管理的规定以“漏洞处理流程”为准,详细内容请参见漏洞处理流程。
- 如企业客户须获取漏洞信息,请查看安全通知。
- Windows/macOS/Linux版本安装依赖时,请注意使用满足条件的较新版本软件包,关注并修补存在的漏洞,尤其是已公开的CVSS打分大于7分的高危漏洞。
数据安全声明
MindStudio Insight支持导入包括pytorch profiler、msprof、memscope、msServiceProfiler等调优工具采集的调优数据,在导入前请自行确保数据来源可信及环境安全。
运行安全声明
MindStudio Insight 在运行异常时会退出进程并打印报错信息,建议根据报错提示定位具体错误原因,错误信息覆盖文件权限,文件解析,数据落盘,数据查询等方面。
通信安全加固
不涉及跨域通信,为本地应用。
通信矩阵
通信矩阵信息
| 序号 | 源设备 | 源IP | 源端口 | 目的设备 | 目的IP | 目的端口(侦听) | 协议 | 端口说明 | 侦听端口是否可更改 | 认证方式 | 加密方式 | 所属平面 | 版本 | 特殊场景 | 备注 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 安装MindStudio Insight的PC | 安装MindStudio Insight的PC的客户端IP地址 | 系统分配随机端口 | https://support.huawei.com/ecolumnsweb/en/warranty-policy 服务器 | https://support.huawei.com/ecolumnsweb/en/warranty-policy | 443 | HTTPS | 【作用】EULA 说明中的网址【说明】安装时可点击跳转到对应地址。Insight安装时,向用户展示EULA license,阅览时可通过点击该链接自动打开浏览器页签跳转至华为官方产品生命周期终止政策。 | 不涉及 | 不涉及 | SSL | 无 | >=7.0.RC1 | 无 | 无 |
| 2 | 安装MindStudio Insight的PC | 安装MindStudio Insight的PC的客户端IP地址 | 系统分配随机端口 | https://www.huawei.com/en/psirt/vul-response-process 服务器 | https://www.huawei.com/en/psirt/vul-response-process | 443 | HTTPS | 【作用】EULA 说明中的网址【说明】安装时可点击跳转到对应地址。Insight安装时,向用户展示EULA license,阅览时可通过点击该链接自动打开浏览器页签跳转至华为官方华为漏洞管理原则说明。 | 不涉及 | 不涉及 | SSL | 无 | >=7.0.RC1 | 无 | 无 |
| 3 | 安装MindStudio Insight的PC | 安装MindStudio Insight的PC的客户端IP地址 | 系统分配随机端口 | https://support.huawei.com/additionalres/pki 服务器 | https://support.huawei.com/additionalres/pki | 443 | HTTPS | 【作用】EULA说明中的网址Insight安装时,向用户展示EULA license,阅览时可通过点击该链接自动打开浏览器页签跳转至华为官方根证书及子证书等下载链接。 | 不涉及 | 不涉及 | SSL | 无 | >=7.0.RC1 | 无 | 无 |
| 4 | 安装MindStudio Insight的PC | 127.0.0.1 | 系统分配随机端口 | 本机 | 127.0.0.1 | 9000~9100 | TCP | MindStudio Insight后端服务开启端口用于跟前端通信,在起始端口开始的100个端口中选一个空闲的 | 不涉及 | 不涉及 | 无 | 无 | >=7.0.RC1 | 无 | 无 |