堆棧內存溢出
  簡體   English   中英

有沒有辦法限制sklearn下載數據集?

[英]Is there a way to restrict sklearn from downloading datasets?

 原文  2022-10-05 19:35:04       python/ python-3.x/ security/ scikit-learn/ tarfile

問題描述

參考與 tar 文件相關的最新安全問題 - https://www.theregister.com/2022/09/22/python_vulnerability_tarfile/

我們正在使用Creosote工具 - https://github.com/advanced-threat-research/Creosote

檢查python虛擬環境安裝的代碼和包是否存在漏洞。

以下是 Creosote 工具生成的報告:

 ::::::::  :::::::::  :::::::::: ::::::::   ::::::::   :::::::: ::::::::::: :::::::::: 
:+:    :+: :+:    :+: :+:       :+:    :+: :+:    :+: :+:    :+:    :+:     :+:        
+:+        +:+    +:+ +:+       +:+    +:+ +:+        +:+    +:+    +:+     +:+        
+#+        +#++:++#:  +#++:++#  +#+    +:+ +#++:++#++ +#+    +:+    +#+     +#++:++#   
+#+        +#+    +#+ +#+       +#+    +#+        +#+ +#+    +#+    +#+     +#+        
#+#    #+# #+#    #+# #+#       #+#    #+# #+#    #+# #+#    #+#    #+#     #+#        
 ########  ###    ### ########## ########   ########   ########     ###     ########## 
 
Starting scan of:venv/
        Scanning for Vulnerabilities:
                Error reading file:venv/lib/python3.10/site-packages/joblib/test/test_func_inspect_special_encoding.py
                        'utf-8' codec can't decode byte 0xa4 in position 64: invalid start byte
                Scan Completed

4 files with vulns:     0 vulns, 0 probable vulns, and 4 potential vulns found
        venv/lib/python3.10/site-packages/pip/_vendor/distlib/util.py
                Found potential vulns on lines: 1252
        venv/lib/python3.10/site-packages/sklearn/datasets/_lfw.py
                Found potential vulns on lines: 111
        venv/lib/python3.10/site-packages/sklearn/datasets/_twenty_newsgroups.py
                Found potential vulns on lines: 77
        venv/lib/python3.10/site-packages/dateutil/zoneinfo/rebuild.py
                Found potential vulns on lines: 24

如您所見,該報告標記了 sklearn/datasets 子包中的潛在漏洞。 有沒有辦法限制sklearn下載它?

或者一般來說,如何修復此漏洞以避免任何生產問題?

1 個解決方案

解決方案1
 0  2022-12-21 01:11:26

scikit-learn 默認不下載數據集。 所以有幾個選擇。

選項 0 :該漏洞看起來需要管理員權限。 避免: sudo python something.py

選項 1 :不要運行此代碼:

from sklearn.datasets import fetch_lfw_people, fetch_20newsgroups
lfw = fetch_lfw_people()
news = fetch_20newsgroups()

選項 2 :我不熟悉 Creosote,但在 scikit-learn 中使用tarfile似乎沒有被標記。 例如: fetch_california_housing 如果某些fetch_方法存在潛在漏洞,則應在上游進行調試和修補。

選項 3 :如果包中存在此代碼被認為對您的組織有危險:修改和構建符合您組織安全策略的輪子。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 y來自sklearn.datasets.make_classification 從 sklearn 數據集下載 MNIST 數據會出現超時錯誤 sklearn 和大型數據集 數據集中的目標、圖像[0] sklearn 有沒有辦法在 AuzureML Studio 中從表格模型或 PowerBi 數據集創建數據集? 機器學習sklearn中的巨大數據集 下載代理背后的 sklearn 數據集 大型數據集上的 Sklearn-GMM 如何手動加載sklearn數據集? 如何下載sklearn的數據集? -蟒蛇
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM