最新のIntel x86の脆弱性を取り巻く多くの議論があります。私はPostgreSQL、Linuxリスト、Intel、AMDに関する記事を見ました。みんな何が起こっているのか漠然と言及しています。
私もこのトピックに関する非常に素晴らしく説得力のある記事を見ました。典型的なようです。シテフ質問。エンバゴに署名したユーザーのリストがあるかどうか疑問に思います。この「禁止措置」は開発者にとって正式な義務ですか?それとも、建設的な仕事環境を構築することは非公式の問題ですか?
私はすべてのカーネル開発者がIntelとの公式契約を受け入れ、契約上の機密性を維持していると思います。
答え1
Google Project Zeroで詳細を公開しました。脆弱性の公開エンバゴの日付以前。これらの脆弱性を呼び出します。幽霊と崩壊。
これは一般的な答えであり、この脆弱性に限定されません。禁輸措置は、本質的に脆弱性の詳細を秘密に保ちながら、追跡可能性(適切な人を信頼できるように)と解決策(修正に必要な人を参加させて)を確保し、合意された合意に到達するという紳士の合意です。時間の長さ。
特にカーネルの場合、セキュリティプロセスは次のようになります。ここで説明。特に1週間ほどの非常に短い禁輸措置が必要です。しかし、主な問題に対するセキュリティ対応は他の場所で議論されることが多く、時間がかかることがあります。
契約状況は様々です。一部の開発者は雇用契約(会社間契約、機密保持契約などを含む)の関連条件に拘束され、他の開発者は単に一種の口頭契約(または電子メールなど)に拘束されます。エンバゴ処理はプロジェクトごとに異なり、イベントごとにエンバゴ条件を定義し、関係するすべての人に明確にしたいのですが、必ずしもそうではありません。一般的に、禁止されている参加者の多少正式なリスト(さまざまな電子メールに参照リストのみがある場合)と誰が参加できるかに関する規則(通常はできるだけ少ない人ですが、時にはまだ多くの人)があります。最終的に、開発者は名誉、より正確には評判に縛られています。禁輸措置を乱すと、将来の禁輸措置に参加する可能性が減少します(これにより作業が困難になる可能性があります)。
私はIntelの従業員を除いて(とにかくこれは雇用契約に含まれる可能性が高い)、この特定の禁輸措置に参加したすべての参加者とIntelの間に正式な契約があるかどうかは非常に疑わしいです。
次のような多くの場所で情報を見つけることができます。公開リスト「禁水情報処理」ページ。