标签列表
聚合结果
原始 PR · 作者 dusthunter · 合并时间 2026-05-16 09:29
修复 /v2 端点 API key 认证绕过漏洞
值得立即合并。作为一个安全修复,变更简洁且测试完备。设计上采用元组常量管理受保护前缀的做法值得推广。建议后续跟进路径规范化以消除评论中提出的边缘情况。
添加 FIPS 合规文档说明
值得阅读该新增章节,尤其是需要在 FIPS 启用主机上部署 vLLM 的团队。文档结构清晰,配置说明具体,可快速参考。
补全安全文档缺失的 API 端点列表
建议合并,无代码风险。该 PR 是安全文档的及时补充,值得管理员和部署者阅读以了解最新 endpoint 列表和认证要求。
原始 PR · 作者 jperezdealgaba · 合并时间 2026-04-01 18:23
在 VideoMediaIO 中强制实施帧数限制,防止 base64 JPEG 视频导致的内存耗尽漏洞。
建议精读此 PR,重点关注 load_base64 方法中如何处理 num_frames 边界条件的设计决策,以及安全漏洞修复的代码实现,可作为多模态输入验证的参考案例。
原始 PR · 作者 jperezdealgaba · 合并时间 2026-03-30 15:10
修复批处理运行器中的SSRF漏洞,通过添加URL域名验证。
此PR值得精读,特别是安全验证设计和空列表处理部分。建议关注download_bytes_from_url函数中的验证逻辑和测试用例,以理解如何防止SSRF绕过。
原始 PR · 作者 jperezdealgaba · 合并时间 2026-03-27 21:02
添加 VLLM_MAX_N_SEQUENCES 环境变量,强制限制每请求输出序列数以防止拒绝服务攻击。
建议精读此 PR,特别是 vllm/sampling_params.py 中的验证逻辑和 docs/usage/security.md 的更新,以了解如何实现资源限制和防范 DoS 攻击。设计简单直接,但展示了安全配置的实践,值得工程师学习。
将release pipeline的构建队列从postmerge迁移到release队列,提升隔离与安全性。
此PR变更简单直接,无需深入代码阅读;关注点在于CI配置的隔离改进,建议验证构建流程在合并后的稳定性,并考虑添加相关测试覆盖。