安全指南

报告安全问题

Apache 软件基金会在消除针对其产品的安全问题和拒绝服务攻击方面采取非常积极的立场。我们强烈建议大家首先向我们的私有安全邮件列表报告此类问题，然后再在公共论坛中披露它们。

请注意，安全邮件列表应仅用于报告未公开的安全漏洞以及管理修复此类漏洞的过程。我们不接受发送到此地址的常规错误报告或其他查询。所有发送到此地址且与我们源代码中未公开的安全问题无关的邮件都将被忽略。关于以下问题：漏洞是否适用于您的特定应用程序，获取有关已发布漏洞的更多信息，补丁和/或新版本的可用性，应在用户讨论论坛中提出。

私有安全邮件地址是：security@apache.org。 请随时查阅 Apache 安全指南。

安全模型

TVM 生成的默认二进制文件仅依赖于最小的运行时 API。 运行时依赖于系统库中有限的一组系统调用（例如 malloc）。

TVM RPC 服务器假定用户是受信任的，需要在受信任的网络环境和加密通道中使用。 它允许将任意文件写入服务器，并为任何可以访问此 API 的人提供完整的远程代码执行能力。

Tracker、服务器和客户端之间的 AutoTVM 数据交换以明文形式进行。 建议在受信任的网络环境或加密通道下使用它们。