Anaconda 未受 PyTorch 安全事件影响

我们想联系您并告知您最近发生了一起涉及 PyTorch 的安全事件,PyTorch 是一个流行的开源机器学习库。我们可以向您保证,这种情况不会影响我们的客户。

2022 年 12 月 31 日,Pytorch 发布声明 详细说明了一起与供应链相关的安全事件。在这个特定案例中,我们的软件供应链安全团队能够根据问题的性质确定我们的软件包没有风险。从 Anaconda 的“main”频道安装软件包的 Conda 用户不会受到影响。这是因为 Anaconda 的官方频道(存储我们所有软件包的位置)仅包含从稳定的上游版本构建的软件包,而受影响的 PyTorch 版本是 nightly 开发版本。

在 Anaconda,我们非常重视我们软件和存储库中软件包的安全性。此外,我们已采取强有力的措施来防止上述特定类型的攻击。我们确保未经授权的第三方软件包无法冒充 Anaconda 软件包构建器构建的官方软件包。

我们想向我们的客户保证,当使用 Anaconda 存储库时,您可以确信您收到的软件包是安全的。

我们计划在未来的系列博客文章中探讨此问题和其他与供应链相关的攻击。

更新: 我们已与 conda-forge 维护者确认,他们的 PyTorch 软件包也是从稳定的上游版本构建的,因此同样不受影响。

如何查看您是否正在使用受影响的 Pytorch 版本

如果您已使用 Anaconda 的 main 频道在环境中安装了 PyTorch,则无需采取任何措施。但是,如果您使用 pip 安装了 PyTorch 的 nightly 版本,或者您不确定,则值得按照 此处 描述的步骤检查您的环境是否受到影响。

此外,conda 允许您使用以下命令查看您的 PyTorch 软件包来自何处

conda list --show-channel-urls

来自 repo.anaconda.com 和 repo.anaconda.cloud 的 `pytorch` 软件包不受此事件影响。如果您的 `pytorch` 软件包来自其他频道,请咨询该频道的维护者。

进一步阅读

要阅读官方公告,请参阅此链接

与专家交流

与我们的专家之一交流,为您的 AI 之旅找到解决方案。

与专家交流