华为 HKSP 事件,你怎么看?
车水马龙 • • 13140 次浏览https://www.solidot.org/story?sid=64340
"2020年5月10日,华为在内核加固邮件列表上公开了一个针对Linux内核防御的方案HKSP,但很快PaX/GRsecurity团队就找到了HKSP方案的一些漏洞并且在网站上公开,此事在一些社交网站都有讨论,HKSP作者在内核加固邮件列表中解释说这个并不是公司项目而是个人的开源项目(未经证实的信息显示作者是HKSP的长期开发者),5月11日,华为产品安全应急响应中心也发布公告指出经过调查HKSP并没有集成到任何的华为当前产品中,之后PaX/GRsecurity团队的创始人之一spender在指出HKSP的代码仓库有修改提交时间并且HN上关于HKSP是一位实习生开发的说法并不可信,据称HKSP作者是一位在华为工作的20级的高级安全雇员。2020年5月12日的晚些时候其作者已经把HKSP名称修改为AKSP。HardenedLinux社区今天跟spender进行了沟通,spender反复强调他在乎的是事实本身,如果你犯了错误应该及时承认并且快速修复,spender称他并不是针对华为,因为2019年他阅读了英国政府发布的华为代码分析报告后认为这份报告从技术层面看非常不专业还写了技术分析文章,spender也强调他欣赏包括华为在内的所有为自由开源社区贡献的个人和公司。"
英文链接:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability
-
#1
纯外行但是“20级的高级安全雇员”debug完不找人仔细查漏再嵌入吗?
-
车水马龙 楼主#2
华为20级,年薪都 200 万人民币朝上的这种人写代码还要人看,这个要求有点过分了哈。
薪资参考;https://www.infoq.cn/article/0*dh8y7jcxcDc0YJFXq1 -
#3
本人外行哈但觉得正规一点的公司,不会让一个人写完code, debug完就可以发可以用的。20级不代表不会犯错有漏洞啊。只是我的主观想法哈
-
#4
只不过某人在 github 上贡献了一些代码而已。有精力的码农们多多少少干过这事。
有 bug 报告一下通知一下修复就是了,开源项目的流程都很直接。
有 bug 要被人拿出来讨论人设讨论动机?谁还愿意维护开源项目啊。
为什么会扯上华为? -
车水马龙 楼主#5
不排除有人借此事做文章的可能性。但这个名称 HKSP 的意思是:Huawei Kernel Self Protection。这个代码提交的目的是给 Linux 内核做安全加固的,然后代码本身有安全漏洞,被人抓住把柄。如果是个人行为,他就不应该放任何跟华为有关的信息。总之身为 20 级的他,做事很多欠妥之处,一地鸡毛,估计在华为职位不保。
-
#6
外行的我不知道在说啥
-
#7
开源项目公司和个人都可以贡献的华为声明这个不是华为官方行为,是个人行为,而且华为设备也没有这些代码。
我个人推测是个人行为的可能性比较大。能跟华为扯上关系是因为项目名字吧。 -
#8
严谨的说,并不能因为华为公布了个一个名字叫hksp的功能你去github华为员工名下也找到个hksp的repository,就可以默认这就是华为的源代码。华为官方没有在这份源代码里面放任何负责声明。
这么做是极度不专业的,不过可以理解作为安全团队想要抢先搞个大新闻提高知名度不得不这么干。 -
车水马龙 楼主#9
是个人行为但同时这个又是:个人以实力坑公司的行为。第一水平不过关(或者太忙没顾上),但要知道弄的是 Linux 内核啊。第二,个人随便就署公司名在外面发布代码,级别这么高的员工了,考虑问题这么不周到。
现在被别人发现漏洞,公司和个人都赶紧发布免责申明,屁股擦半天。 -
#10
这人唯一的失误是在邮件列表里自己明说了 H for Huawei。
可能太爱华为了,自己的项目都冠上公司名字。
这样做确实不太合适,尤其当很多人盯着华为的时候。
这个什么安全团队,要说没有什么别有用心,还真不信。
找到个bug还要把代码贡献者调查一番,看到 Huawei 这个关键字就拿出来当标题党。 -
车水马龙 楼主#11
完全同意的现在很多人盯着华为呢,有这样好机会会不利用一下?我们旁观者也学个教训,个人在什么社交网站上啊,GitHub 上啊,跟公司划清界限。
-
#12
这个安全团队是比较傲慢的有看不起别人的传统 或者说是蜜汁自信
-
车水马龙 楼主#13
文人相轻有时做技术的也是一个德性,哈哈。总觉得自己牛,别人都很水。