slime-ascend 安全声明
系统安全加固
-
用户可在运行系统配置时开启 ASLR(级别2)以提高系统安全性,保护系统随机化开启。
可参考以下方式进行配置:echo 2 > /proc/sys/kernel/randomize_va_space
运行用户建议
- 基于安全性考虑,您在执行任何命令时,不建议使用root等管理员类型账户执行,遵循权限最小化原则。
文件权限控制
- 建议用户在主机(包括宿主机)及容器中设置运行系统umask值为0027及以上,保障新增文件夹默认最高权限为750,新增文件默认最高权限为640。
- 建议用户对个人数据、商业资产、源文件、训练过程中保存的各类文件等敏感内容做好权限管控。涉及场景如 slime-ascend 安装目录权限管控、多用户使用共享数据集权限管控,管控权限可参考表1进行设置。
- slime-ascend 在数据预处理中会生成训练数据,在训练过程会生成权重文件,文件权限默认640,用户可根据实际需求对生成文件权限进行进阶管控。
表1 文件(夹)各场景权限管控推荐最大值
| 类型 | linux权限参考最大值 |
|---|---|
| 用户主目录 | 750(rwxr-x---) |
| 程序文件(含脚本文件、库文件等) | 550(r-xr-x---) |
| 程序文件目录 | 550(r-xr-x---) |
| 配置文件 | 640(rw-r-----) |
| 配置文件目录 | 750(rwxr-x---) |
| 日志文件(记录完毕或者已经归档) | 440(r--r-----) |
| 日志文件(正在记录) | 640(rw-r-----) |
| 日志文件记录 | 750(rwxr-x---) |
| Debug文件 | 640(rw-r-----) |
| Debug文件目录 | 750 (rwxr-x---) |
| 临时文件目录 | 750(rwxr-x---) |
| 维护升级文件目录 | 770(rwxrwx---) |
| 业务数据文件 | 640(rw-r-----) |
| 业务数据文件目录 | 750(rwxr-x---) |
| 密钥组件、私钥、证书、密文文件目录 | 700(rwx------) |
| 密钥组件、私钥、证书、加密密文 | 600(rw-------) |
| 加解密接口、加解密脚本 | 500(r-x------) |
运行安全声明
- 建议用户结合运行环境资源状况编写对应训练脚本。若训练脚本与资源状况不匹配,如数据集加载内存大小超出内存容量限制、训练脚本在本地生成数据超过磁盘空间大小等情况,可能引发错误并导致进程意外退出。
- slime-ascend 在运行异常时会退出进程并打印报错信息,建议根据报错提示定位具体错误原因,包括设定算子同步执行、查看 CANN 日志、解析生成的 Core Dump 文件等方式。
数据安全声明
程序运行过程中,会通过nltk.load从用户指定的路径中加载语料库,需要保证网络安全,确保下载的语料包来源可信。
远程代码执行安全声明
系统默认启用远程代码执行功能(trust_remote_code=true),该配置允许系统加载和运行自定义模型架构(如非官方模型结构、自定义算子等),根据模型配置从远程仓库下载并执行相关脚本,因此需要保证网络安全,并确保代码来源的可信性。建议优先使用官方或经过认证的模型,以降低潜在安全风险。
公开接口声明
slime-ascend 暂时未发布 wheel 包,无正式对外公开接口,所有功能均通过 shell 脚本调用。