没办法。

开源不代表安全。开源软件都出了好几次出名的漏洞了。

只能自己想办法。


【 在 phoenixhills 的大作中提到: 】
: 商用一般时候用用没问题，战时里面要是有恶意的东西，不是要命吗？
: junyong更不得了。如何筛除这些恶意电路？
--
FROM 70.190.162.130

这个不是菜不菜的问题。

比如说强如nVidia能不能防止TSMC在给自己生产的芯片里面植入一个后门？

技术上是防止不了的。

但是nVidia为什么不担心、或者说没有那么担心？


【 在 OrderPhoenix 的大作中提到: 】
: 那就又回到“菜是原罪”了。
: 自己没本事开发出来EDA，还怪别人？
: “菜是原罪”并不是只有一个点的，而是系统性的、至少是一条链的。
: ...................
--
FROM 70.190.162.130

而且这俩软件bug说原理都特别简单，用起来修起来都不复杂。

你再看看硬件bug，之前Google发现的那俩漏洞，想用起来得多复杂。

这俩bug一出，直接影响CPU微架构设计里面speculatively execution, and cancel/re
play if wrong的基本理念。

说白了，相当于说全行业通用的设计准则被人说有安全bug；在这之前，没人会觉得这么
干能出漏洞。

heartbleed是缓冲区溢出，log4j是注入式攻击，本质上是该做的检查/转换程序员没做
，真找起来的话比那俩硬件bug明显多了。

就这还藏了这么久。开源的哦，全世界的程序员都可以看源代码的哦。全世界的程序员
都菜哦。


【 在 chenpp 的大作中提到: 】
: 参考开源软件里爆出来的heartbleed和log4j。还有之前NSA在加密算法里面埋的雷。
: 都是全业界都在用的东西，结果也是藏了那么多年才被发现。这些还只是已知的、已经
: 爆出来的。
: ...................
--
FROM 70.190.162.130