HKSP,漏洞,脏水和谎言
一位程序员在提交的给开源世界的代码中忽略了一个存在溢出错误的可能性,然后表演开始了 6park.com 6park.com尽管在这个程序员的github主页上已经表明,这个项目纯属个人兴趣,换言之,这个HKSP改名成LKSP (Linux Kernel Self Protection)也合情合理;尽管华为官方声明了了这个私人项目跟华为开发的任何项目无关,也不曾安装到任何华为制造的设备上;尽管这个错误的低级几乎所有程序员都曾犯过:指针溢出导致的内存失控。但脏水依旧泼向华为。 6park.com 6park.comgrsecurity.net,溢出漏洞的发现者(不确定,但至少在其网站上给出了溢出代码的演示),也无法否认华为官方声明的与HKSP的无关性。但依然用心险恶的注明,”根据我们的消息来源,提交者是第20级的华为资深程序员“。 6park.com 6park.com然后全世界的华为仇视者们高潮了,认为终于拥有了了”华为放置后门“这个流言的实证。 6park.com 6park.com首先,漏洞的确存在,而且没啥技术含量,基本上C语言学过指针概念的人都能搞出来。以华为的技术储备如果只能写出这种水平的漏洞,被华为碾压的友商的实力就实在堪忧了。 6park.com 6park.com其次,人非圣贤,再资深的程序员也可能犯低级错误,这个HKSP项目想来也是游戏之作,毕竟能够回馈开源世界是每个程序员的政治正确,至于是否严谨倒因人而宜。毕竟开源的牛逼之处正在于无敌的纠偏能力,只要有漏洞总有眼睛雪亮的群众帮你找出来,所以态度上想必也不会太过较真,反正版本迭代后总会改回来的。 6park.com 6park.com再次,这是个人项目,跟华为公司无关。即使开发者是华为的雇员,但人家利用业余时间写的东西,质量好坏都不应当由华为公司负责。试想苹果雇员存小电影的密码被儿子破解终于一饱眼福之际,我们能够因此指责苹果无视甚至刻意泄露用户隐私么?至于资深与否,有关系么? 6park.com 6park.com最后,总结一下,确实有漏洞,犯错很低级,华为在躺枪,人心太险恶。
|