Como um “embargo” funciona no contexto do desenvolvimento do Kernel? [fechadas]

Navegue suas respostas
3

Houve muito barulho sobre a mais nova vulnerabilidade do Intel x86. Eu vi posts no PostgreSQL, na lista do Linux, Intel, AMD - tudo com uma vaga menção do que está acontecendo.

Eu vi algumas boas e convincentes anotações sobre o assunto também. Parece um problema típico do shtf . Eu estou querendo saber se existe uma lista dos usuários que assinaram um embargo? Este "embargo" é uma coisa formal que liga os desenvolvedores? Ou é uma coisa informal criar um ambiente de trabalho construtivo?

Estou imaginando que todos os desenvolvedores do Kernel tenham aceito um contrato formal com a Intel, e sendo contratual devido ao sigilo.

    
por Evan Carroll 03.01.2018 / 23:12

1 resposta

5

Observe que o Google Project Zero publicou uma postagem detalhada sobre as vulnerabilidades disponíveis antes da data de embargo. As vulnerabilidades são conhecidas como Spectre and Meltdown .

Esta é uma resposta geral, não específica para esta vulnerabilidade. Um embargo é na prática um acordo pessoal para manter em segredo os detalhes de uma vulnerabilidade, garantindo sua rastreabilidade (para que as pessoas apropriadas obtenham crédito) e sua resolução (envolvendo as pessoas necessárias para consertá-lo), para um acordo. por período de tempo.

Para o kernel especificamente, o processo de segurança é descrito aqui . Em particular, exige embargos muito curtos, da ordem de uma semana. Normalmente, porém, a resposta de segurança para grandes problemas será discutida em outros locais e pode levar mais tempo.

A situação contratual varia. Alguns desenvolvedores estarão sujeitos a cláusulas relevantes em seus contratos de trabalho (e contratos entre empresas, NDAs etc.); outros só serão obrigados por algum tipo de acordo verbal (ou e-mail ou qualquer outra coisa). O manuseio do embargo também varia de projeto para projeto e até mesmo incidente a incidente; Você esperaria que os termos de embargo fossem definidos e explicitados para todos os participantes, mas nem sempre é o caso. Geralmente, há uma lista mais ou menos formal de participantes de embargo (se apenas a lista de cc em vários emails) e regras sobre quem pode ser colocado (geralmente, o menor número possível de pessoas, mas às vezes isso ainda é muitas pessoas). Em última análise, os desenvolvedores são ligados à honra ou, talvez, mais precisamente ligados à reputação; bagunça um embargo e é menos provável que você esteja envolvido em futuros embargos (o que pode dificultar seu trabalho).

Eu duvido muito que exista um contrato formal entre todos os participantes neste embargo específico e a Intel, exceto para os funcionários da Intel, talvez (onde tais situações provavelmente são cobertas por seus contratos de trabalho de qualquer maneira).

Você encontrará informações relevantes em vários lugares, começando com lista de distros" Tratamento de informações embargadas "página .

    
por 03.01.2018 / 23:55

Tags

Como listar arquivos instalados no pacote do FreeBSD? Como o Linux manipula o roteamento de uma solicitação para seu próprio IP?