信息來源：Freebuf

近日，圍繞華為L20首席安全專家為Linux內(nèi)核提交補(bǔ)丁卻被發(fā)現(xiàn)漏洞，國內(nèi)外有了很多的討論。今天想和大家梳理一下整個(gè)事件，理性判斷。

事情從5月10日開始，華為在內(nèi)核加固郵件列表上公開了一個(gè)針對(duì)Linux內(nèi)核防御的方案HKSP，這也是很多大型科技公司的常見做法。

但很快，PaX/GRsecurity團(tuán)隊(duì)找到了HKSP方案的一些漏洞并且在網(wǎng)站上公開。針對(duì)漏洞問題，此事開始在一些社交網(wǎng)站引發(fā)討論，不斷發(fā)酵。

爭(zhēng)論的點(diǎn)在于：

1、這是否是華為的公司項(xiàng)目 ；

2、如果是公司項(xiàng)目，HKSP是否已經(jīng)集成到華為產(chǎn)品中，帶來安全威脅（HKSP補(bǔ)丁在內(nèi)核代碼中引入了一個(gè)“輕而易舉就能利用的”漏洞）。

同時(shí)，也由此引發(fā)了多種基于政治背景下的陰謀論。

而在GRsecurity最先發(fā)布的博文里寫道：HKSP作者是一位在華為工作的20級(jí)的高級(jí)安全雇員；HKSP是一個(gè)完全缺乏防御性的程序，引入了可輕易利用的漏洞。

對(duì)此，HKSP作者（未經(jīng)證實(shí)的信息顯示該作者是HKSP的長期開發(fā)者）在內(nèi)核加固郵件列表中解釋說：這個(gè)并不是公司項(xiàng)目而是個(gè)人的開源項(xiàng)目。

而在ZeroBin上我們看到了疑似作者的發(fā)聲：

在Github上的作者自述文件中，作者則進(jìn)一步解釋了，這些是demo code，是主要為了快速驗(yàn)證這些漏洞緩解措施是否有效的poc代碼，因此沒有加入安全參數(shù)檢查。

而5月11日，華為產(chǎn)品安全應(yīng)急響應(yīng)中心發(fā)布公告指出：經(jīng)過調(diào)查HKSP并沒有集成到任何的華為當(dāng)前產(chǎn)品中。

5月12日，作者已經(jīng)把HKSP名稱修改為AKSP。

最后，此次事件放在一個(gè)任何普通的公司都是一件小事，但加上華為、grsecurity、中美貿(mào)易三個(gè)杠桿，足以矚目。再加上此前華為也曾被指責(zé)在設(shè)備中安裝后門，此次就補(bǔ)丁漏洞事件引發(fā)的爭(zhēng)論難免讓人聯(lián)想，是否逐漸脫離事件本身。從開源代碼貢獻(xiàn)的角度來看，全世界范圍內(nèi)有上萬程序員為Linux 內(nèi)核貢獻(xiàn)代碼，而HKSP作者是其中一員，因此，大家對(duì)于此事的討論或許更應(yīng)該集中于開源代碼漏洞本身以及后期修復(fù)、處理工作上，而不是盯住瑕疵一味爭(zhēng)論。