【会议纪要】【Security sig例会】20251201

【与会人】：陈启军，李建峰，郑雪，蒋宏博，窦欣，徐文贵

会议议题：

议题1、D兼容性-系统视图兼容-需求安全涉及评审（华为-窦欣）

议题2、OGAI需求三方引入和安全涉及评审(华为-徐文贵)

议题3、openGauss社区java代码仓三方组件引入规范评审（蒋宏博）

会议结论：

议题1：D兼容性-系统视图兼容-需求安全涉及评审

评审结论：评审通过

评审建议：新增视图权限设计方案评估无安全风险，具体权限参考内核视图information_schema模式下对应的功能最相近的视图权限进行限制

议题2：OGAI需求三方引入和安全涉及评审

评审结论：跟踪遗留问题闭环后通过

遗留问题：

1、针对三方引入

（1）onnx runtime 和 tokenizers需引入最新火车版本，当前分别为v1.22.0和0.21.2。
（2）onnx runtime 内部引入的是python版本，经确认和ogai引入c/c++ runtime的官网地址一致，是包装了c/c++ runtime的python版本。
（3）text-splitter文本切分三方库为个人三方库，虽然社区近期较为活跃，但无明确版本计划，后期维护难，不支持引入。后续引入langchain替换该组件，并通过社区issue进行跟踪。

2、三方在线模型API Key 属于敏感信息，由于存储在系统表中，需要加密存储。

3、OGAI系统表针对管理员的权限控制需要兼容三权分立场景。

议题3：openGauss社区java代码仓三方组件引入规范评审

评审结论：openGauss社区java代码仓三方组件引入规范评审通过，规范链接：https://gitcode.com/opengauss/community/blob/master/check-in/template/openGauss%E4%B8%89%E6%96%B9%E7%BB%84%E4%BB%B6%E5%BC%95%E5%85%A5check-in%E6%A8%A1%E6%9D%BF-java%E4%BB%A3%E7%A0%81%E4%BB%93.md。