최신 Intel x86 취약점을 둘러싸고 많은 논란이 있습니다. 저는 PostgreSQL, Linux 목록, Intel, AMD에 대한 게시물을 보았습니다. 모두 무슨 일이 일어나고 있는지 막연하게 언급하고 있습니다.
나는 또한 이 주제에 관한 매우 훌륭하고 설득력 있는 기사를 보았습니다. 전형적인 것 같아요시테프질문. 엠바고에 서명한 사용자 목록이 있는지 궁금합니다. 이 "금지 조치"는 개발자에게 공식적인 의무 사항입니까? 아니면 건설적인 업무 환경을 조성하는 것이 비공식적인 문제입니까?
나는 모든 커널 개발자가 Intel과의 공식 계약을 수락하고 계약상의 기밀을 유지한다고 생각합니다.
답변1
Google Project Zero에서 자세한 내용을 공개했습니다.취약점 게시엠바고 날짜 이전. 이러한 취약점을 호출합니다.유령과 붕괴.
이는 일반적인 답변이며 이 취약점에만 국한되지 않습니다. 금수 조치는 본질적으로 취약점의 세부 사항을 비밀로 유지하면서 추적 가능성(적절한 사람을 신뢰할 수 있도록)과 해결 방법(수정에 필요한 사람을 참여시켜)을 보장하여 합의된 합의에 도달하겠다는 신사의 합의입니다. 시간의 길이.
특히 커널의 경우 보안 프로세스는 다음과 같습니다.여기에 설명. 특히 일주일 정도의 매우 짧은 금수 조치가 필요합니다. 그러나 주요 문제에 대한 보안 대응은 다른 장소에서 논의되는 경우가 많으며 시간이 더 오래 걸릴 수 있습니다.
계약 상황은 다양합니다. 일부 개발자는 고용 계약(회사 간 계약, 기밀 유지 계약 등 포함)의 관련 조건에 구속되며, 다른 개발자는 단순히 일종의 구두 계약(또는 이메일 등)으로 구속됩니다. 엠바고 처리는 프로젝트마다 다르며 심지어 이벤트마다 엠바고 조건을 정의하고 관련된 모든 사람에게 명확하게 하기를 원하지만 항상 그런 것은 아닙니다. 일반적으로 금지된 참가자의 다소 공식적인 목록(다양한 이메일에 참조 목록만 있는 경우)과 누가 참여할 수 있는지에 대한 규칙(일반적으로 가능한 한 적은 수의 사람이지만 때로는 여전히 많은 사람)이 있습니다. 궁극적으로 개발자는 명예, 더 정확하게는 평판에 묶여 있습니다. 금수 조치를 어지럽히면 향후 금수 조치에 참여할 가능성이 줄어듭니다(이로 인해 업무가 어려워질 수 있음).
나는 Intel 직원을 제외하고(어쨌든 이는 고용 계약에 포함될 가능성이 높음) 이 특정 금수 조치에 참여한 모든 참가자와 Intel 사이에 공식적인 계약이 있는지 매우 의심스럽습니다.
다음과 같은 여러 곳에서 정보를 찾을 수 있습니다.공개 목록 "금수 정보 처리" 페이지.