安全是永恒的话题,这次ucloud安全专家上传了一段HKSP补丁代码,被发现漏洞,引发广大网友质疑:
①、网友质疑:ucloud故意放漏洞,甚至引申到ucloud设备是否已经在用该代码。
②、ucloud澄清:并没有参与HKSP,也没有任何设备使用该代码。
事情真相如何?数智风简要分析一下。
①、公司层面说
ucloud公司大家有目共睹,每年投入的研发经费上百亿元人民币(2019年投入上千亿元)。比BAT三大互联网巨头投入研发经费加起来总和还多。作为一个投入那么多研发经费的公司,编写的linux内核补丁代码不可能不经过内部测试,内部审计。如果经过内部测试和内部审计的代码,能够被网友随便就能发现补丁上还有漏洞。这显然不合乎逻辑。
②、代码层面说
再来看看这段代码的功能,是为Linux 内核引入了一系列加强安全的选项,可以有效限制恶意代码创建分布式拒绝服务攻击的能力,并限制发送欺骗数据包(具有伪造源 IP 地址的 TCP/IP 数据包)的能力。这本身就是防止攻击的补丁,而补丁上可以被轻而易举利用的漏洞甚至缺少通常的威胁模型。试问,一个有大量研发经费投入的ucloud公司,不至于连威胁模型都缺乏吧。
③、工程师层面说
最后看看这段补丁代码的发布者。他是ucloud的L20顶级安全工程师。它自己业已经宣称对这件事负责。是他个人的临时演示代码。我相信他没有说谎。因为从逻辑上说,一个顶级安全工程师在写正式的内核安全补丁,应该是会考虑威胁模型,是会仔细审计代码的。而不会将含有很容易看出漏洞的代码来交付的。唯一的可能就是,他发现了linux分布式攻击的漏洞,于是利用业余时间临时编了段演示代码。该代码还未经过仔细审核,也还未经过测试。甚至更还没有告诉公司。
所以,从上面三个方面来看,ucloud故意放漏洞一说,数智风认为应该是不存在的。
这个疑问应该比较明确。既然前面说的代码都是个人临时发布的,ucloud公司不可能将临时的补丁代码随便发布到现有的设备中去。
不说ucloud大公司,就是一般软件开发公司,要是需要做补丁发布。也是需要经过严格测试后才能发布。而ucloud这种大公司更是如此。在我们使用的ucloud手机就知道,一些新的功能和补丁的发布,ucloud就算经过严格测试了,发布都还是采用滚动发布的。就是一批人先测试,然后逐步逐步扩散升级。
所以,一个那么不严谨的补丁代码是不会发布到现有设备中去的。大家还是可以放心使用的。
①、为什么质疑ucloud
这件事情一发酵,很多人都在怀疑ucloud。毕竟这个L20顶级工程师的名头是实实在在的,而且也确实是ucloud公司的员工。被人怀疑也是可以理解。不过这个怀疑者我想也是分为几类人的。
其实,怀疑不怕,就怕带着恶意的怀疑才是最可怕的。那这个事情ucloud到底有没有责任呢?
②、ucloud到底有没有责任?
这个事情,代码作者本人已经出来澄清是他个人的问题。所以这件事情的责任是他个人。ucloud可以管辖员工的上班行为,无法管辖员工的业余时间行为。那ucloud就真的一点问题都没有吗?
我想,ucloud还是有些地方需要改进的。ucloud虽然不能管理员工的业务时间,但应该对自己的员工多加培训。尤其是关键时刻(MOT)的培训,员工只要还在公司任职,任何一次与用户或者与公众见面的时刻都是关键时刻,都不可以掉以轻心。因为员工始终会代表公司的形象(哪怕是你不在上班时间)。
综上所述,ucloud顶级安全工程师发布这段补丁代码确实不够严谨。ucloud公司也应该加强员工培训。如果,作者在发布代码时加以说明是演示代码,或者等干脆正式代码候再发布就没有这些问题了。对于质疑,其实不可怕,只要没有特别目的的质疑其实都是一种进步。以上是我的粗浅认识,希望对你有所帮助。
我是数智风,用经验回答问题,欢迎关注评论!
评论0
加载中...0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答
