【会议纪要】【Security sig例会】20251201 【与会人】:陈启军,李建峰,郑雪,蒋宏博,窦欣,徐文贵 会议议题: 议题1、D兼容性-系统视图兼容-需求安全涉及评审(华为-窦欣) 议题2、OGAI需求三方引入和安全涉及评审(华为-徐文贵) 议题3、openGauss社区java代码仓三方组件引入规范评审(蒋宏博) 会议结论: 议题1:D兼容性-系统视图兼容-需求安全涉及评审 评审结论:评审通过 评审建议:新增视图权限设计方案评估无安全风险,具体权限参考内核视图information_schema模式下对应的功能最相近的视图权限进行限制 议题2:OGAI需求三方引入和安全涉及评审 评审结论:跟踪遗留问题闭环后通过 遗留问题: 1、针对三方引入 (1)onnx runtime 和 tokenizers需引入最新火车版本,当前分别为v1.22.0和0.21.2。 (2)onnx runtime 内部引入的是python版本,经确认和ogai引入c/c++ runtime的官网地址一致,是包装了c/c++ runtime的python版本。 (3)text-splitter文本切分三方库为个人三方库,虽然社区近期较为活跃,但无明确版本计划,后期维护难,不支持引入。后续引入langchain替换该组件,并通过社区issue进行跟踪。 2、三方在线模型API Key 属于敏感信息,由于存储在系统表中,需要加密存储。 3、OGAI系统表针对管理员的权限控制需要兼容三权分立场景。 议题3:openGauss社区java代码仓三方组件引入规范评审 评审结论:openGauss社区java代码仓三方组件引入规范评审通过,规范链接:https://gitcode.com/opengauss/community/blob/master/check-in/template/openGauss%E4%B8%89%E6%96%B9%E7%BB%84%E4%BB%B6%E5%BC%95%E5%85%A5check-in%E6%A8%A1%E6%9D%BF-java%E4%BB%A3%E7%A0%81%E4%BB%93.md。