adv

adv
各位朋友大家好,欢迎您进入solidot新版网站,在使用过程中有任何问题或建议,请与很忙的管理员联系。
安全
pigsrollaroundinthem(39396)
发表于2017年09月12日 19时46分 星期二
来自不是天朝人
Daniel Stenberg 开发的 cURL 是一个用于文件传输的开源库和命令行工具,被广泛应用于各种计算平台。想象一下,这样一个广泛使用的工具如果被加入后门?Stenberg 称他被经常被问到这个问题,他表示从未观察到蓄意试着加入漏洞或后门的情况,有补丁会在几年后发现引入了安全问题,但不存在蓄意之说。当然他的话你可以不相信,但 cURL 是一个开源软件,如果你不相信可以检查你下载的代码,或从已经检查过代码的可信来源获得代码。Stenberg 称每一个正式版本他都用 GPG 签名,即便提供下载的服务器遭到了入侵,攻击者也不可能复制签名。风险在于用户从非官方来源下载了已预先构建好的 cURL。他个人保证 cURL 没有后门,他是瑞典人,住在瑞典,美国的机构没有合法权力强迫他加入后门,而瑞典的类似机构也没有合法权力施压他加入后门。cURL 项目诞生近二十年来只发现约 70 个安全漏洞,大部分都是编程错误引发的,他确定这些问题都不是有意引入的。
安全
pigsrollaroundinthem(39396)
发表于2017年09月12日 17时24分 星期二
来自只是个想法
在洛杉矶举行的开源峰会上,Linus Torvalds 谈论了 Linux 的安全、开发和协作。最近开源项目 Struts 的漏洞被指是 Equifax 数据泄露事件的根源,Linux 基金会执行董事 Jim Zemlin 请 Torvalds 谈谈 Linux 安全现状。Torvalds 称不存在绝对安全的概念,即使工作做到尽善尽美,也总是会有 bug 存在。他表示,Linux kernel 有多种安全检查去帮助识别漏洞,包括静态分析和模糊测试。他称在安全上已经取得了很多进步。Torvalds 同时表示对攻击 Linux 代码的人的才能留下了深刻印象。他希望这些聪明的人能站在他们这一边,在他们走向黑暗面前为 Linux 内核工作,帮助改进安全。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月12日 10时51分 星期二
来自谷歌
因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表:2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告;2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务;2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书;2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括了苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。