近日，圍繞華爲L20首席安全專家爲Linux內核提交補丁卻被發現漏洞，國內外有了很多的討論。今天想和大家梳理一下整個事件，理性判斷。

事情從5月10日開始，華爲在 內核加固郵件列表上 公開了一個針對Linux內核防禦的方案HKSP，這也是很多大型科技公司的常見做法。

但很快，PaX/GRsecurity團隊找到了 HKSP方案的一些漏洞並且在網站上公開 。針對漏洞問題，此事開始在一些社交網站引發討論，不斷髮酵。

爭論的點在於：

1、這是否是華爲的公司項目 ；
2、如果是公司項目，HKSP是否已經集成到華爲產品中，帶來安全威脅（HKSP補丁在內核代碼中引入了一個“輕而易舉就能利用的”漏洞）。

同時，也由此引發了多種基於政治背景下的陰謀論。

而在GRsecurity最先發布的 博文 裏寫道：HKSP作者是一位在華爲工作的20級的高級安全僱員；HKSP是一個完全缺乏防禦性的程序，引入了可輕易利用的漏洞。

對此，HKSP作者（未經證實的信息顯示該作者是 HKSP的長期開發者 ）在內核加固郵件列表中解釋說：這個 並不是公司項目而是個人的開源項目 。

而在ZeroBin上我們看到了疑似作者的發聲：

在Github上的作者自述文件中，作者則進一步解釋了，這些是demo code，是主要爲了快速驗證這些漏洞緩解措施是否有效的poc代碼，因此沒有加入安全參數檢查。

而5月11日，華爲產品安全應急響應中心發佈公告指出：經過調查 HKSP並沒有集成到任何的華爲當前產品中 。

5月12日，作者已經把HKSP名稱修改爲AKSP。

最後，此次事件放在一個任何普通的公司都是一件小事，但加上華爲、grsecurity、中美貿易三個槓桿，足以矚目。再加上此前華爲也曾被指責在設備中安裝後門，此次就補丁漏洞事件引發的爭論難免讓人聯想，是否逐漸脫離事件本身。從開源代碼貢獻的角度來看，全世界範圍內有上萬程序員爲Linux 內核貢獻代碼，而HKSP作者是其中一員，因此，大家對於此事的討論或許更應該集中於開源代碼漏洞本身以及後期修復、 處理 工作上，而不是盯住瑕疵一味爭論。

*本文作者：kirazhou，轉載請註明來自FreeBuf.COM

相關文章