- 主题:risc-v开源的组件ip,怎么保证安全性?
战略设施必须完全自主可控,但太难了
丑有专门的人研究往open source中植入后门,risc-v必定不会放过
【 在 chenpp 的大作中提到: 】
: 开源软件的那个heartbleed,还有之前的log4j漏洞
:
: 这俩是比较有名的开源软件漏洞。那么多人用,那么多双眼睛看着,但是用了那么久才
: 有人发现。
: --
: 在我的左腿右边右腿左边有一片大森林
发自「今日水木 on iOS」
--
FROM 120.227.143.*
开源了,用的时候都不知道安全不安全,那就活该了。
【 在 phoenixhills 的大作中提到: 】
: 商用一般时候用用没问题,战时里面要是有恶意的东西,不是要命吗?
: junyong更不得了。如何筛除这些恶意电路?
:
--
FROM 125.35.210.*
前面说了,开源软件隐藏木马病毒都不是一件稀奇事,开源硬件筛查木马门槛更高,这点数没有?
【 在 liudali 的大作中提到: 】
: 开源了,用的时候都不知道安全不安全,那就活该了。
:
--
FROM 125.33.82.*
代码都给你了,藏点东西都看不出来,还敢用,不就是水平不够吗?还怨谁啊
【 在 phoenixhills 的大作中提到: 】
: 前面说了,开源软件隐藏木马病毒都不是一件稀奇事,开源硬件筛查木马门槛更高,这点数没有?
:
--
FROM 125.35.210.*
思想这么单纯么
【 在 liudali 的大作中提到: 】
: 代码都给你了,藏点东西都看不出来,还敢用,不就是水平不够吗?还怨谁啊
:
--
FROM 125.33.82.*
参考开源软件里爆出来的heartbleed和log4j。还有之前NSA在加密算法里面埋的雷。
都是全业界都在用的东西,结果也是藏了那么多年才被发现。这些还只是已知的、已经
爆出来的。
我不知道该不该得出用的人都是菜B的结论。
【 在 liudali 的大作中提到: 】
: 代码都给你了,藏点东西都看不出来,还敢用,不就是水平不够吗?还怨谁啊
--
FROM 70.190.162.130
而且这俩软件bug说原理都特别简单,用起来修起来都不复杂。
你再看看硬件bug,之前Google发现的那俩漏洞,想用起来得多复杂。
这俩bug一出,直接影响CPU微架构设计里面speculatively execution, and cancel/re
play if wrong的基本理念。
说白了,相当于说全行业通用的设计准则被人说有安全bug;在这之前,没人会觉得这么
干能出漏洞。
heartbleed是缓冲区溢出,log4j是注入式攻击,本质上是该做的检查/转换程序员没做
,真找起来的话比那俩硬件bug明显多了。
就这还藏了这么久。开源的哦,全世界的程序员都可以看源代码的哦。全世界的程序员
都菜哦。
【 在 chenpp 的大作中提到: 】
: 参考开源软件里爆出来的heartbleed和log4j。还有之前NSA在加密算法里面埋的雷。
: 都是全业界都在用的东西,结果也是藏了那么多年才被发现。这些还只是已知的、已经
: 爆出来的。
: ...................
--
FROM 70.190.162.130