法国埃穆捷,2026 年 5 月 27 日
Dalibo 很高兴宣布 PostgreSQL Anonymizer 3.1 正式发布,引入了创新的数据脱敏技术,帮助您更好地保护数据!
PostgreSQL Anonymizer 是一个 PostgreSQL 扩展,用于隐藏或替换数据库中的个人身份信息(PII)以及商业敏感数据。
该扩展提供 6 种不同的脱敏策略:
每一种策略都配有更完善的脱敏函数集合,涵盖替换、随机化、伪造、假名化、局部扰乱、洗牌、添加噪声与泛化等高级技术。
该扩展可通过 Debian / RPM 软件包、Ansible Role、Docker 镜像等方式安装。您可以在大多数主流 DBaaS 提供商上使用它,包括 Alibaba Cloud、Crunchy Bridge、Google Cloud SQL、IBM Cloud、Microsoft Azure Database、Neon 和 Yandex。
它也可运行在一些 Postgres 分支上,例如 EDB Advanced Postgres、Greenplum 和 Yugabyte。
更多信息请参阅文档中的 INSTALL 章节。
本地差分隐私是一种更强的数据加噪方法。与常规噪声函数不同,LDP 提供了形式化的数学保证:即使观察者掌握额外辅助信息,也无法根据输出高置信度地反推出原始值。其保护强度由一个名为 epsilon 的参数控制:epsilon 越小,隐私保护越强,但结果准确性也会相应下降。
这对于问卷调查数据和分类值(例如评分、年龄区间、答案选项)尤其有用,因为它能在保护个体响应的同时,仍然支持对总体统计信息进行分析。
目前,LDP 通过广义随机响应机制(GRRM)实现。未来还可能引入更多机制。
3.1 版本修复了一个关键漏洞:在某些情况下,用户可能借此获得超级用户权限。对于 PostgreSQL 14,以及从 PostgreSQL 14 或更早版本升级而来的实例,这一风险尤其高。
所有用户都应尽快将扩展升级到 3.1 版本。
如果暂时无法快速升级,可先使用以下变通方案降低风险:
CREATE OR REPLACE FUNCTION anon.k_anonymity(relid regclass)
RETURNS INTEGER AS $$ SELECT NULL::INTEGER $$ LANGUAGE SQL;
详情请参阅 issue 640(CVE-2026-9617)。
本次发布包含 Adem Bencheikh Lehocine、Benoit Lobréau、Buut 以及其他 贡献者 提供的代码、缺陷修复、文档、代码审查和创意。
本地差分隐私功能属于一个更大的研究项目 DIFPRIPOS,目标是将差分隐私机制集成到 PostgreSQL 中。该项目由法国国家科研署(ANR)资助。感谢 Jean-François Couchot 和 Cedric Eichler 在项目协调与推进中的投入。
同时也感谢 Efluid 团队提供的想法、意见与测试支持。
还要特别感谢 PGRX 团队的出色工作!
PostgreSQL Anonymizer 是 Dalibo Labs 计划的一部分,主要由 Damien Clochard 开发。
这是一个开放项目,欢迎社区贡献。我们期待您的反馈和想法,欢迎告诉我们您如何使用这个工具、它是否满足您的需求,以及您还希望它具备哪些能力。
如果您想参与贡献,可以查看 Junior Jobs 列表。