華為員工業(yè)余提交開(kāi)源代碼，卻被指內(nèi)含漏洞，官方如何回應(yīng)?

最近，有位華為工程師在 GitHub上發(fā)布了一個(gè)linux內(nèi)核強(qiáng)化補(bǔ)丁HKSP(華為內(nèi)核自我防護(hù)))，但隨即，被一個(gè)開(kāi)發(fā)團(tuán)隊(duì)發(fā)現(xiàn)該補(bǔ)丁中含有漏洞，到底是怎么回事呢?

開(kāi)發(fā)團(tuán)隊(duì) grsecurity 在帖子中指出，該補(bǔ)丁本身存在漏洞和弱點(diǎn)，并且缺少通常的威脅模型。雖然，補(bǔ)丁的發(fā)布者在 GitHub 上的作者標(biāo)記為來(lái)自華為，但grsecurity 開(kāi)發(fā)團(tuán)隊(duì)在帖子中表示，目前尚不清楚發(fā)布的補(bǔ)丁集是否是華為的正式版本，或者該代碼是否已經(jīng)在任何華為設(shè)備上發(fā)布。

漏洞?華為?在對(duì)安全高度敏感的時(shí)刻，grsecurity 的帖子引發(fā)了業(yè)界的極大關(guān)注。隨即華為與補(bǔ)丁開(kāi)發(fā)者給出了詳細(xì)解釋，原來(lái)是虛驚一場(chǎng)。

據(jù)ZDNet消息，華為已經(jīng)在周一就此事給出了官方說(shuō)明，華為表示盡管該項(xiàng)目的名稱中使用了“華為”，并且該項(xiàng)目是由其一名頂級(jí)安全工程師開(kāi)發(fā)的，但華為并未正式參與 HKSP 項(xiàng)目。

華為同時(shí)也表示，這只是個(gè)人用于與開(kāi)源社區(qū) Openwall 進(jìn)行技術(shù)討論的演示代碼，該項(xiàng)目代碼從未在任何正式的華為產(chǎn)品中實(shí)際使用過(guò)。

該補(bǔ)丁的發(fā)布者也對(duì)補(bǔ)丁添加了說(shuō)明，指出該項(xiàng)目是其業(yè)余時(shí)間的研究工作，hksp名字也是由其自己命名，與華為公司無(wú)關(guān)，沒(méi)有華為產(chǎn)品使用這些代碼。同時(shí)，該補(bǔ)丁發(fā)布者表示由于個(gè)人精力所限，因此發(fā)布的補(bǔ)丁在審查和測(cè)試上存在不足從而缺乏質(zhì)量保證，他指出，這個(gè)補(bǔ)丁就是一個(gè)演示代碼。