最近,有位华为工程师在 GitHub上发布了一个linux内核强化补丁HKSP(华为内核自我防护)),但随即,被一个开发团队发现该补丁中含有漏洞,到底是怎么回事呢?
开发团队 grsecurity 在帖子中指出,该补丁本身存在漏洞和弱点,并且缺少通常的威胁模型。虽然,补丁的发布者在 GitHub 上的作者标记为来自华为,但grsecurity 开发团队在帖子中表示,目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。
漏洞?华为?在对安全高度敏感的时刻,grsecurity 的帖子引发了业界的极大关注。随即华为与补丁开发者给出了详细解释,原来是虚惊一场。
据ZDNet消息,华为已经在周一就此事给出了官方说明,华为表示尽管该项目的名称中使用了“华为”,并且该项目是由其一名顶级安全工程师开发的,但华为并未正式参与 HKSP 项目。
华为同时也表示,这只是个人用于与开源社区 Openwall 进行技术讨论的演示代码,该项目代码从未在任何正式的华为产品中实际使用过。
该补丁的发布者也在仓库中添加了说明,指出该项目是其业余时间的研究工作,hksp名字也是由其自己命名,与华为公司无关,没有华为产品使用这些代码。同时,该补丁发布者表示由于个人精力所限,因此发布的补丁在审查和测试上存在不足从而缺乏质量保证,他指出,这个补丁就是一个演示代码。
作者:王丽英整理
来源:21ic
【1】雷军喜提第4家上市公司,又送出一公斤金砖
【2】温故知新!六款简单的开关电源电路设计
【3】终于整理齐了,电子工程师“设计锦囊”,你值得拥有!
【4】半导体行业的人都在关注这几个公众号
