我们想与您联系,并告知您最近发生的涉及 PyTorch(一个流行的开源机器学习库)的安全事件。我们向您保证,这种情况不会影响我们的客户。
2022 年 12 月 31 日,PyTorch 发布声明,详细说明了与供应链相关的安全事件。在这种特定情况下,我们的软件供应链安全团队能够根据问题的性质确定我们的软件包没有风险。从 Anaconda 的“main”通道安装软件包的 Conda 用户不受影响。这是因为 Anaconda 的官方通道(所有软件包存储的位置)只包含从稳定的上游版本构建的软件包,而受影响的 PyTorch 版本是夜间开发版本。
在 Anaconda,我们非常重视软件和存储库中软件包的安全性。此外,我们已实施了强有力的措施来防止上述特定类型的攻击。我们确保未经授权的第三方软件包无法假冒 Anaconda 软件包构建者构建的官方软件包。
我们想向我们的客户保证,在使用 Anaconda 存储库时,您可以确信您收到的软件包是安全的。
我们计划在未来的博客文章系列中探讨此类攻击和其他与供应链相关的攻击。
更新:我们已与 conda-forge 维护人员确认,他们的 PyTorch 软件包也是从稳定的上游版本构建的,并且同样不受影响。
如何查看您是否使用的是受影响的 Pytorch 版本
如果您使用 Anaconda 的 main 通道在环境中安装了 PyTorch,则无需采取任何措施。但是,如果您使用 pip 安装了 PyTorch 的夜间版本,或者您不确定,建议您按照 此处 描述的步骤检查您的环境是否受影响。
此外,conda 允许您使用以下命令查看 PyTorch 软件包的来源
conda list --show-channel-urls
来自 repo.anaconda.com 和 repo.anaconda.cloud 的 `pytorch` 软件包不受此事件影响。如果您的 `pytorch` 软件包来自其他通道,请咨询该通道的维护人员。
进一步阅读
要阅读官方公告,请查看此 链接。
