看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学城
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
UMN必然在历史上留下一笔, 我支持lu教授, 打破虚假安全幻想
查看未名空间今日新帖
最新回复:2021年4月25日 8点24分 PT
共 (14) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
m
mitbbs2715
大约 3 年
楼主 (未名空间)
其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞, NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散的审核体系了.
OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
现.
这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
Lu教授是英雄
m
mitbbs2715
大约 3 年
2 楼
我们这边安全总师就说过, 不要信任任何流行超过3年的大库, 绝对一堆插入的漏洞.
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
m
minquan
大约 3 年
3 楼
说得非常好!!!
c
chebyshev
大约 3 年
4 楼
My two cents:
[1]
UMN Team没有任何确认任何其具体的actions。除了论文中的claim之外,
没有提供a list of their actions on kernel.org in the experiment。
(也有人认为其论文中的claims并未实现。换言之,其并未攻破review process。
这是个造假的论文。)
[2]
3个patches之说,出于maintainers将其论文拿来与emails list之比对。换言之,这是个推测。
UMN Team从未承认那些code是他们提交的。也从未提供其使用的fake emails的list。
[3]
maintainers猜测对比,认为james bond @ gmail等假email有问题,且属于
UMN team实验的一部分。这时候ban UMN emails,以及检查从UMN emails出来的 190
pacthes,其实是没什么意义的。
所以[1]和[2]是要解决的首要问题。实验做完了,不说ethic什么的。
给个实验清单我认为是应该的。
其他的结论,下的太早的话,会有争论。然后争论
迟早会回到[1],[2]。
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
l
lightroom
大约 3 年
5 楼
聪明的人都知道人类就是assholes. 就没有必要做实验证明,大多数人多知道还不如少知道。
c
chebyshev
大约 3 年
6 楼
https://www.mitbbs.com/article_t/Poetry/31250099.html
【 在 lightroom (吃一条鱼,思考一个问题,法号三丰) 的大作中提到: 】
: 聪明的人都知道人类就是assholes. 就没有必要做实验证明,大多数人多知道还不如少
: 知道。
C
Caravel
大约 3 年
7 楼
对,唐朝最后那些皇帝,整天就是醉生梦死打猎,其实就是不想知道,偶尔有个别不识像,就要跟宦官斗,最后死的更惨。。
【 在 lightroom (吃一条鱼,思考一个问题,法号三丰) 的大作中提到: 】
: 聪明的人都知道人类就是assholes. 就没有必要做实验证明,大多数人多知道还不如少
: 知道。
m
meadude
大约 3 年
8 楼
不能盲目信任开源代码是对的。不开源的代码呢?更糟糕吧。
n
netghost
大约 3 年
9 楼
開發團隊水平一樣,顯然不開源的安全性高,這個事情非常明顯,沒啥好凹的。問題是,啥時候開源成了安全標杆了,這個牌坊讓開源拿着實在是太沉重了。
此外最關鍵的事情是,搞過production系統的人就知道,production的安全與否,代碼本身最多只佔10%。所以,扯這個事情本身就意義不大。
【 在 meadude (meadude) 的大作中提到: 】
: 不能盲目信任开源代码是对的。不开源的代码呢?更糟糕吧。
c
chebyshev
大约 3 年
10 楼
我印象里开源是不安全的标杆吧?LoL
By average,安全本身也就影响产品value的10%不到。
不过security这个方向常做常,利于养家糊口。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 開發團隊水平一樣,顯然不開源的安全性高,這個事情非常明顯,沒啥好凹的。問題是
: ,啥時候開源成了安全標杆了,這個牌坊讓開源拿着實在是太沉重了。
: 此外最關鍵的事情是,搞過production系統的人就知道,production的安全與否,代碼
: 本身最多只佔10%。所以,扯這個事情本身就意義不大。
n
netghost
大约 3 年
11 楼
不應該是標杆,但是可惜這次的事情看起來,很多人認爲是標杆。
所以這個角度來說,Lu的工作也不是說完全沒point,sadly。
【 在 chebyshev (......) 的大作中提到: 】
: 我印象里开源是不安全的标杆吧?LoL
: By average,安全本身也就影响产品value的10%不到。
: 不过security这个方向常做常,利于养家糊口。
d
digua
大约 3 年
12 楼
这样做有道理,但对发考题来说是比较危险的。最好是还有个第三方机构来支持和
review,一切活动存档,留给以后公开。
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
c
chebyshev
大约 3 年
13 楼
说的不错。prof Lu缺的其实就是公开所有试验资料。
另外这件事跟faculty与否关系不大,关键在于其发表论文claim了此software supply chain experiment/attack。不发论文就没事。
【 在 digua (姚之FAN) 的大作中提到: 】
: 这样做有道理,但对发考题来说是比较危险的。最好是还有个第三方机构来支持和
: review,一切活动存档,留给以后公开。
: ,
g
godless
大约 3 年
14 楼
有脑子吗?这是Linux 核心,你们公司从来不用Linux?那得是多垃圾的公司啊。
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
请输入帖子链接
收藏帖子
其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞, NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散的审核体系了.
OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
现.
这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
Lu教授是英雄
我们这边安全总师就说过, 不要信任任何流行超过3年的大库, 绝对一堆插入的漏洞.
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
说得非常好!!!
My two cents:
[1]
UMN Team没有任何确认任何其具体的actions。除了论文中的claim之外,
没有提供a list of their actions on kernel.org in the experiment。
(也有人认为其论文中的claims并未实现。换言之,其并未攻破review process。
这是个造假的论文。)
[2]
3个patches之说,出于maintainers将其论文拿来与emails list之比对。换言之,这是个推测。
UMN Team从未承认那些code是他们提交的。也从未提供其使用的fake emails的list。
[3]
maintainers猜测对比,认为james bond @ gmail等假email有问题,且属于
UMN team实验的一部分。这时候ban UMN emails,以及检查从UMN emails出来的 190
pacthes,其实是没什么意义的。
所以[1]和[2]是要解决的首要问题。实验做完了,不说ethic什么的。
给个实验清单我认为是应该的。
其他的结论,下的太早的话,会有争论。然后争论
迟早会回到[1],[2]。
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
聪明的人都知道人类就是assholes. 就没有必要做实验证明,大多数人多知道还不如少知道。
【 在 lightroom (吃一条鱼,思考一个问题,法号三丰) 的大作中提到: 】
: 聪明的人都知道人类就是assholes. 就没有必要做实验证明,大多数人多知道还不如少
: 知道。
对,唐朝最后那些皇帝,整天就是醉生梦死打猎,其实就是不想知道,偶尔有个别不识像,就要跟宦官斗,最后死的更惨。。
【 在 lightroom (吃一条鱼,思考一个问题,法号三丰) 的大作中提到: 】
: 聪明的人都知道人类就是assholes. 就没有必要做实验证明,大多数人多知道还不如少
: 知道。
不能盲目信任开源代码是对的。不开源的代码呢?更糟糕吧。
開發團隊水平一樣,顯然不開源的安全性高,這個事情非常明顯,沒啥好凹的。問題是,啥時候開源成了安全標杆了,這個牌坊讓開源拿着實在是太沉重了。
此外最關鍵的事情是,搞過production系統的人就知道,production的安全與否,代碼本身最多只佔10%。所以,扯這個事情本身就意義不大。
【 在 meadude (meadude) 的大作中提到: 】
: 不能盲目信任开源代码是对的。不开源的代码呢?更糟糕吧。
我印象里开源是不安全的标杆吧?LoL
By average,安全本身也就影响产品value的10%不到。
不过security这个方向常做常,利于养家糊口。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 開發團隊水平一樣,顯然不開源的安全性高,這個事情非常明顯,沒啥好凹的。問題是
: ,啥時候開源成了安全標杆了,這個牌坊讓開源拿着實在是太沉重了。
: 此外最關鍵的事情是,搞過production系統的人就知道,production的安全與否,代碼
: 本身最多只佔10%。所以,扯這個事情本身就意義不大。
不應該是標杆,但是可惜這次的事情看起來,很多人認爲是標杆。
所以這個角度來說,Lu的工作也不是說完全沒point,sadly。
【 在 chebyshev (......) 的大作中提到: 】
: 我印象里开源是不安全的标杆吧?LoL
: By average,安全本身也就影响产品value的10%不到。
: 不过security这个方向常做常,利于养家糊口。
这样做有道理,但对发考题来说是比较危险的。最好是还有个第三方机构来支持和
review,一切活动存档,留给以后公开。
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄
说的不错。prof Lu缺的其实就是公开所有试验资料。
另外这件事跟faculty与否关系不大,关键在于其发表论文claim了此software supply chain experiment/attack。不发论文就没事。
【 在 digua (姚之FAN) 的大作中提到: 】
: 这样做有道理,但对发考题来说是比较危险的。最好是还有个第三方机构来支持和
: review,一切活动存档,留给以后公开。
: ,
有脑子吗?这是Linux 核心,你们公司从来不用Linux?那得是多垃圾的公司啊。
【 在 mitbbs2715 (好吃不懒做) 的大作中提到: 】
: 其实我一直就说公司不能信任开源代码, 因为里面垃圾多, 甚至很多恶意添加的漏洞,
: NAS, CIA, 黑客都干过. 不是一次两次的, BSD 审核那么严格, 都报出来NAS给钱给
: reviewer让恶意代码通过审核的事情(9x, 200x, 爆过不止一次),不要说linux这么松散
: 的审核体系了.
: OSS 最坏的是给人漏洞容易被发现的错觉, 让大家麻痹大意, 不去仔细审核, UMN这次
: 打破了OSS安全的幻境是好事. 实际上, Lu证明之前插入的漏洞就不会少, 只是很难发
: 现.
: 这告诉我们, OSS 必须要严格审核, 未自己审核过的代码能不用就不用. 公司必须使用
: 人工智能自动审核对所有OSS进行深度审查, 刻不容缓.
: Lu教授是英雄