Skip to main content
版本:Next

安全

安全问题

Apache 软件基金会积极致力于消除针对其产品的安全问题和拒绝服务攻击。

我们强烈建议开发者在公开论坛披露这些问题之前,先将此类问题报告给我们的开发邮件列表。

请注意,该邮件列表仅应用于报告未公开的安全漏洞以及处理修复此类漏洞的流程。常规的错误报告或其他咨询请创建 issue 进行提交。

报告安全问题的邮件地址为: security@apache.org

安全模型

Apache InLong 各模块基于其设计定位,对安全边界有明确的责任划分。以下情况不属于 Apache InLong 的漏洞,无需作为安全问题提交报告:

  • Sort 模块提供实时数据同步能力,负责在各类数据库之间读取与写入受信任的数据。除非另有约定,数据库中的恶意数据均被视为不安全输入,用户应自行确保数据源的安全性,包括但不限于对入库数据进行校验、对访问来源进行鉴权等。

  • Manager 模块提供租户隔离能力。在同一租户内,任意成员均可查看该租户下的全部业务信息,包括 Group、Sink、Stream 等。在租户权限模型下,仅 Group 责任人有权对其名下的 Group、Sink、Stream 等信息进行修改与删除;成员在被授予的权限范围内执行的正常操作亦属此列。如需防止业务信息被他人查看,用户只需确保未将无关人员加入当前租户。

需要说明的是,以上说明旨在明确安全边界。我们始终欢迎社区就强化代码库安全性、完善边界防护等提出建议,共同推动项目持续演进。