{eval=Array;=+count(Array);}

国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

問答專欄Q & A COLUMN

如何看待華為L20安全專家Linux內(nèi)核補丁被發(fā)現(xiàn)漏洞?

AndroidTravelerAndroidTraveler 回答0 收藏1
收藏問題

1條回答

bluesky

bluesky

回答于2022-06-28 11:43

安全是永恒的話題,這次ucloud安全專家上傳了一段HKSP補丁代碼,被發(fā)現(xiàn)漏洞,引發(fā)廣大網(wǎng)友質(zhì)疑:

①、網(wǎng)友質(zhì)疑:ucloud故意放漏洞,甚至引申到ucloud設(shè)備是否已經(jīng)在用該代碼。

②、ucloud澄清:并沒有參與HKSP,也沒有任何設(shè)備使用該代碼。

事情真相如何?數(shù)智風(fēng)簡要分析一下。


1、ucloud故意放漏洞一說,應(yīng)該不存在

①、公司層面說

ucloud公司大家有目共睹,每年投入的研發(fā)經(jīng)費上百億元人民幣(2019年投入上千億元)。比BAT三大互聯(lián)網(wǎng)巨頭投入研發(fā)經(jīng)費加起來總和還多。作為一個投入那么多研發(fā)經(jīng)費的公司,編寫的linux內(nèi)核補丁代碼不可能不經(jīng)過內(nèi)部測試,內(nèi)部審計。如果經(jīng)過內(nèi)部測試和內(nèi)部審計的代碼,能夠被網(wǎng)友隨便就能發(fā)現(xiàn)補丁上還有漏洞。這顯然不合乎邏輯。

②、代碼層面說

再來看看這段代碼的功能,是為Linux 內(nèi)核引入了一系列加強安全的選項,可以有效限制惡意代碼創(chuàng)建分布式拒絕服務(wù)攻擊的能力,并限制發(fā)送欺騙數(shù)據(jù)包(具有偽造源 IP 地址的 TCP/IP 數(shù)據(jù)包)的能力。這本身就是防止攻擊的補丁,而補丁上可以被輕而易舉利用的漏洞甚至缺少通常的威脅模型。試問,一個有大量研發(fā)經(jīng)費投入的ucloud公司,不至于連威脅模型都缺乏吧

③、工程師層面說



最后看看這段補丁代碼的發(fā)布者。他是ucloud的L20頂級安全工程師。它自己業(yè)已經(jīng)宣稱對這件事負(fù)責(zé)。是他個人的臨時演示代碼。我相信他沒有說謊。因為從邏輯上說,一個頂級安全工程師在寫正式的內(nèi)核安全補丁,應(yīng)該是會考慮威脅模型,是會仔細(xì)審計代碼的。而不會將含有很容易看出漏洞的代碼來交付的。唯一的可能就是,他發(fā)現(xiàn)了linux分布式攻擊的漏洞,于是利用業(yè)余時間臨時編了段演示代碼。該代碼還未經(jīng)過仔細(xì)審核,也還未經(jīng)過測試。甚至更還沒有告訴公司。

所以,從上面三個方面來看,ucloud故意放漏洞一說,數(shù)智風(fēng)認(rèn)為應(yīng)該是不存在的。


2、ucloud是否有設(shè)備已經(jīng)使用該段代碼?



這個疑問應(yīng)該比較明確。既然前面說的代碼都是個人臨時發(fā)布的,ucloud公司不可能將臨時的補丁代碼隨便發(fā)布到現(xiàn)有的設(shè)備中去。

不說ucloud大公司,就是一般軟件開發(fā)公司,要是需要做補丁發(fā)布。也是需要經(jīng)過嚴(yán)格測試后才能發(fā)布。而ucloud這種大公司更是如此。在我們使用的ucloud手機就知道,一些新的功能和補丁的發(fā)布,ucloud就算經(jīng)過嚴(yán)格測試了,發(fā)布都還是采用滾動發(fā)布的。就是一批人先測試,然后逐步逐步擴散升級。

所以,一個那么不嚴(yán)謹(jǐn)?shù)难a丁代碼是不會發(fā)布到現(xiàn)有設(shè)備中去的。大家還是可以放心使用的。

3、那為什么會有那么多人質(zhì)疑ucloud?ucloud有沒有責(zé)任?

①、為什么質(zhì)疑ucloud

這件事情一發(fā)酵,很多人都在懷疑ucloud。畢竟這個L20頂級工程師的名頭是實實在在的,而且也確實是ucloud公司的員工。被人懷疑也是可以理解。不過這個懷疑者我想也是分為幾類人的。

  • 表面理解者:看到補丁確實是ucloud安全員工提交,而且也實實在在存在漏洞。自然有理由懷疑。有懷疑才有研究,有研究才有進步嗎。
  • 不明真相跟風(fēng)者:網(wǎng)絡(luò)上也有很多不明真相的網(wǎng)友,看到有人懷疑,未加細(xì)想就加入了懷疑者行列。
  • 居心叵測者:這類一般平時就比較陰暗的,有陰謀的。一看到ucloud出了個紕漏,那還不趕緊扒上去咬一口。當(dāng)然這類人我相信比較少,但他們?nèi)菀讕Ч?jié)奏,讓不明真相者跟風(fēng)懷疑。

其實,懷疑不怕,就怕帶著惡意的懷疑才是最可怕的。那這個事情ucloud到底有沒有責(zé)任呢?

②、ucloud到底有沒有責(zé)任?



這個事情,代碼作者本人已經(jīng)出來澄清是他個人的問題。所以這件事情的責(zé)任是他個人。ucloud可以管轄員工的上班行為,無法管轄員工的業(yè)余時間行為。那ucloud就真的一點問題都沒有嗎?

我想,ucloud還是有些地方需要改進的。ucloud雖然不能管理員工的業(yè)務(wù)時間,但應(yīng)該對自己的員工多加培訓(xùn)。尤其是關(guān)鍵時刻(MOT)的培訓(xùn),員工只要還在公司任職,任何一次與用戶或者與公眾見面的時刻都是關(guān)鍵時刻,都不可以掉以輕心。因為員工始終會代表公司的形象(哪怕是你不在上班時間)。

總結(jié)

綜上所述,ucloud頂級安全工程師發(fā)布這段補丁代碼確實不夠嚴(yán)謹(jǐn)。ucloud公司也應(yīng)該加強員工培訓(xùn)。如果,作者在發(fā)布代碼時加以說明是演示代碼,或者等干脆正式代碼候再發(fā)布就沒有這些問題了。對于質(zhì)疑,其實不可怕,只要沒有特別目的的質(zhì)疑其實都是一種進步。以上是我的粗淺認(rèn)識,希望對你有所幫助。

我是數(shù)智風(fēng),用經(jīng)驗回答問題,歡迎關(guān)注評論!

評論0 贊同0
  •  加載中...

最新活動

您已邀請0人回答 查看邀請

我的邀請列表

  • 擅長該話題
  • 回答過該話題
  • 我關(guān)注的人
向幫助了您的網(wǎng)友說句感謝的話吧!
付費偷看金額在0.1-10元之間
<