MLflow 2.9.2 是一个补丁版本,包含多个关键的安全修复和配置更新,以支持超大型模型artifact(资产)的处理。
功能特性
- [部署] 添加 `mlflow.deployments.openai` API,以便通过部署 API 简化对 OpenAI 服务的直接访问 (#10473, @prithvikannan)
- [服务器基础架构] 添加一个新的环境变量,允许在跟踪服务器内禁用 HTTP 重定向,以增强公共可访问跟踪服务器部署的安全性 (#10673, @daniellok-db)
- [Artifacts] 为分块上传(Multi-part upload)和分块下载(Multi-part download)添加环境变量配置,允许修改每个分块的大小,以支持超大型模型artifact(资产)的处理 (#10648, @harupy)
安全修复
- [服务器基础架构] 通过强制在安全的沙箱模式下进行 YAML 渲染,禁用通过篡改的 YAML 文件注入恶意代码的能力 (#10676, @BenWilson2, #10640, @harupy)
- [Artifacts] 通过禁止使用 `..` 进行路径遍历查询,防止在查询 artifact URI 位置时发生路径遍历攻击 (#10653, @B-Step62)
- [数据] 在使用与 `HTTPDatasetSource` 交互的跟踪 API 时,防止在 Windows 上进行恶意文件遍历攻击的机制 (#10647, @BenWilson2)
- [Artifacts] 通过在评估路径之前对其进行解码,防止通过编码的 URL 遍历路径进行潜在的路径遍历攻击 (#10650, @B-Step62)
- [Artifacts] 通过强制在跟踪服务器中使用经过净化的路径,防止进行路径遍历攻击 (#10666, @harupy)
- [Artifacts] 当使用 FTP 服务器作为后端存储时,通过在访问用户提供的路径之前强制声明基本路径,防止路径遍历攻击 (#10657, @harupy)
文档更新
- [文档] 添加 RAG 创建和评估的端到端教程 (#10661, @AbeOmor)
- [文档] 添加 Tensorflow 登录页面 (#10646, @chenmoneygithub)
- [部署/跟踪] 为 LLM 评估文档添加端点 (#10660, @prithvikannan)
- [示例] 添加 LangChain 的检索器评估教程并改进问题生成教程笔记本 (#10419, @liangz1)
有关更改的完整列表,请参阅发布变更日志,并在mlflow.org上查看最新文档。