🎯 重点更新
本次版本主要优化稳定性与安全性。核心修复内容包括:加固 Transformer 模型缓存目录安全权限、修复恶意畸形 PDF 文件可能引发的拒绝服务(DoS)漏洞,以及修正会话记忆与向量存储过滤器的逻辑处理。同时已将依赖升级至 Spring Boot 3.5.14。
🪲 问题修复
现已为 Transformer 模型默认缓存目录配置安全权限,防止下载的模型文件被未授权访问。(提交哈希:4881e0c)
宇宙数据库(CosmosDB)向量存储的删除方法现已采用参数化查询,修复查询构造潜在隐患,提升数据安全。(提交哈希:b32096e)
修复特制畸形 PDF 解析时引发内存过度分配的漏洞,增强对恶意文件、损坏文档的防护能力。(提交哈希:6a12b6f)
完善向量存储会话记忆顾问(VectorStoreChatMemoryAdvisor)中会话 ID(conversationId)过滤器逻辑,确保会话记忆仅在指定会话范围内正常读取。(提交哈希:1e8135a)
修正向量存储过滤器表达式转换器的键值处理逻辑,保障过滤器表达式在各类向量存储组件中可正确兼容转换。(提交哈希:eb763fd)
🔨 依赖升级
正式升级 Spring Boot 依赖至 3.5.14 版本,同步引入 Spring Boot 官方最新漏洞修复与安全补丁。(提交哈希:aed3b27)
中间过渡版本先将 Spring Boot 依赖升级至 3.5.13。(提交哈希:a1d3dee)
🔩 构建配置更新
重命名
JdbcChatMemoryRepositorySchemaInitializerPostgresqlTests 测试类,遵循标准集成测试命名规范,保证测试分类与执行逻辑正常。(工单 #5853)🔐 安全加固
解析畸形 PDF 文件时,可能触发堆内存过度分配。本次修复新增字符缓冲区分配限制机制,有效规避恶意构造文档引发的拒绝服务攻击风险。(提交哈希:6a12b6f)
补充术语说明
DoS:拒绝服务攻击
Transformer model:Transformer 大模型
Vector Store:向量存储
Conversation Memory:会话记忆
Parameterized queries:参数化查询
Heap allocation:堆内存分配
