而且这俩软件bug说原理都特别简单，用起来修起来都不复杂。

你再看看硬件bug，之前Google发现的那俩漏洞，想用起来得多复杂。

这俩bug一出，直接影响CPU微架构设计里面speculatively execution, and cancel/re
play if wrong的基本理念。

说白了，相当于说全行业通用的设计准则被人说有安全bug；在这之前，没人会觉得这么
干能出漏洞。

heartbleed是缓冲区溢出，log4j是注入式攻击，本质上是该做的检查/转换程序员没做
，真找起来的话比那俩硬件bug明显多了。

就这还藏了这么久。开源的哦，全世界的程序员都可以看源代码的哦。全世界的程序员
都菜哦。


【 在 chenpp 的大作中提到: 】
: 参考开源软件里爆出来的heartbleed和log4j。还有之前NSA在加密算法里面埋的雷。
: 都是全业界都在用的东西，结果也是藏了那么多年才被发现。这些还只是已知的、已经
: 爆出来的。
: ...................
--
FROM 70.190.162.130