跳转至

SAGE 安全性改进 (Security Enhancements)

🔐 SAGE 0.1.6+ 版本引入了全面的安全性改进,包括依赖验证、权限管理和离线安装支持。

🎯 快速开始

最安全的安装方式

# 1. 创建虚拟环境
python3 -m venv sage-env
source sage-env/bin/activate

# 2. 执行深度安全验证
./quickstart.sh --verify-deps --standard

# 3. 验证安装
sage doctor

📚 核心文档

必读文档

  1. 权限管理指南 🔐

  2. 权限需求分类

  3. 避免不必要的 sudo 使用
  4. 各种环境的解决方案

  5. 权限问题故障排除

  6. 安全安装指南 🔒

  7. Checksum 验证方法

  8. 漏洞扫描工具集成
  9. --verify-deps 深度验证

  10. CI/CD 集成示例

  11. 离线安装指南 🌐

  12. 企业网络部署

  13. Air-Gapped 系统安装
  14. 离线包准备和管理

  15. 受限环境解决方案

  16. 安全性改进总结 📋

  17. 完整的改进清单

  18. 实施统计
  19. 功能对比
  20. 后续优化方向

🚀 常见场景

场景 1: 标准安装(推荐)

适用于:大多数用户

python3 -m venv sage-env
source sage-env/bin/activate
./quickstart.sh --verify-deps --standard --yes

特点

  • ✅ 自动验证依赖
  • ✅ 检测安全漏洞
  • ✅ 最小化权限使用
  • ✅ 完整的错误报告

场景 2: 企业网络部署

适用于:有代理服务器的企业环境

# 配置代理
export HTTP_PROXY=http://proxy.company.com:8080
export HTTPS_PROXY=https://proxy.company.com:8080

# 安装
./quickstart.sh --verify-deps --standard --yes

参考企业网络安装

场景 3: Air-Gapped 系统

适用于:完全隔离的离线系统

准备阶段(有网络):

pip download -d ~/packages isage[standard]
tar -czf packages.tar.gz packages/

部署阶段(离线):

tar -xzf packages.tar.gz
pip install isage[standard] --no-index --find-links ./packages

参考Air-Gapped 安装

场景 4: CI/CD 流程

适用于:自动化测试和部署

# 严格验证模式(有任何问题则失败)
./quickstart.sh --verify-deps-strict --dev --yes

# 生成安全报告
ls -la security_audit_*.json

参考CI/CD 集成

🔑 关键功能

1. Checksum 验证 ✅

验证下载的包是否被篡改

verify_package_checksum /path/to/package.whl "expected_sha256"

2. 漏洞扫描 🛡️

检测已知的安全漏洞

# 使用 pip-audit(推荐)
pip-audit -r requirements.txt

# 或使用 safety
safety check -r requirements.txt

3. 深度依赖验证 🔍

综合验证依赖的所有方面

# 标准验证
./quickstart.sh --verify-deps --standard

# 严格验证(CI/CD)
./quickstart.sh --verify-deps-strict --dev

4. 权限管理 👤

最小权限原则,避免不必要的 sudo

  • 用户权限:虚拟环境、Python 包
  • Sudo 权限:系统依赖(仅一次)
  • 最小化:自动检测权限需求

📊 验证流程

./quickstart.sh --verify-deps
├─ 1. pip 依赖检查 (pip check)
├─ 2. 漏洞扫描 (pip-audit + safety)
├─ 3. 版本兼容性检查
└─ 4. 生成报告
✅ 所有检查通过
❌ 发现问题(继续 | 中止)

🆘 故障排除

问题:验证失败,有安全漏洞

解决方案

  1. 查看报告文件:cat security_audit_pip_audit.json
  2. 升级受影响的包:pip install --upgrade <package>
  3. 重新运行验证:./quickstart.sh --verify-deps

详情处理发现的漏洞

问题:企业网络中 SSL 证书错误

解决方案

# 方式 1:信任企业镜像
pip install --trusted-host your-mirror.com isage

# 方式 2:添加 CA 证书
pip install --cert /path/to/ca.crt isage

详情SSL 证书问题

问题:权限不足

解决方案

  1. 使用虚拟环境(推荐)
  2. 让管理员预先安装系统依赖
  3. 使用 Conda(管理所有依赖)

详情权限故障排除

📖 完整文档列表

主要指南

相关文档

🔐 安全最佳实践

✅ 推荐做法

  • 使用虚拟环境(venv/conda)
  • 启用 --verify-deps 验证
  • 定期更新依赖
  • 在 CI/CD 中使用严格验证
  • 保留验证报告记录

❌ 应避免的做法

  • 使用 sudo pip install
  • 跳过安全验证
  • 混合在线和离线包
  • 使用过期的离线包
  • 忽视漏洞报告

📞 获取帮助

问题和反馈

安全报告

  • 🔐 邮件:security@intellistream.com
  • 📝 提供详细的复现步骤

社区支持

📋 版本信息

版本 发布日期 改进
0.1.6+ 2025-11-15 首次安全性改进
- - ✅ Checksum 验证
- - ✅ 漏洞扫描集成
- - ✅ --verify-deps 选项
- - ✅ 权限管理文档
- - ✅ 离线安装支持

🚀 快速命令参考

# 基础验证安装
./quickstart.sh --verify-deps --standard

# 严格 CI/CD 安装
./quickstart.sh --verify-deps-strict --dev --yes

# 仅验证(不安装)
./quickstart.sh --verify-deps

# 查看所有选项
./quickstart.sh --help

# 诊断环境问题
./quickstart.sh --doctor

# 诊断并自动修复
./quickstart.sh --doctor-fix

最后更新:2025-11-15\ 维护者:SAGE Security Team\ 许可证:MIT

开始安全使用 SAGE 🎉

python3 -m venv sage-env && source sage-env/bin/activate
./quickstart.sh --verify-deps --standard