对话EOS裂痕披露亲历者——360伏尔甘认真人郑文彬:关于BM、史诗级、做空、营销
|
关于“史诗级”的这个提法自己,着实上这也不是我们的发现。这个词翻译自海外安详社区常用的"Epic"一词,海外在形容重大的安详变乱、安详裂痕时,常常会行使譬喻"Epic fail", "Epic bug" 这样的说法,我们只是借用这个说法。 虽然,许多人认为,“代价百亿美元”的裂痕,也许更贴切,这就见仁见智了,不外“史诗级”,无论从老例来说,照旧从着实际的影响、危害水平来说,都不为过。 Bianews:有文章说到这个裂痕不是区块链独占的裂痕? 郑文彬:这个裂痕不是EOS可能区块链所独占的裂痕,也不是EOS架构上的裂痕, 这种说法没错。可是评判一个裂痕危害与否、影响水平大不大,着实并不是评判它是不是独占的,可能是不是架构级的。 架构级听上去很高峻上,可是现实上评判裂痕的影响大不大,就一个原则,那就是这个裂痕他能做什么,有什么危害,这就是我们所说的”Vulnerability Impact" ,这个裂痕影响多大,那么其危害性、级别就应该定多高,这和是不是独占裂痕、是不是构架级裂痕不要紧。不是架构级裂痕,只能说不会通过这个裂痕来否认整个EOS收集架构模式,和裂痕有多严峻不要紧。 Bianews: BM暗示大部门裂痕是来历于第三方代码库而非EOS焦点代码,您怎么看?且该裂痕并不能改写可执行内存,且不能得到root权限,除非陈设节点时就已经是以root用户身份来运行。这个怎么看? 郑文彬:这是对BM在EOS开拓者群里的恶意截图和断章取义。 起首,代码来自那边并不重要,着实许多重大的安详题目,都是由于行使第三方代码库导致的,像安详业界熟知的“心脏出血”等裂痕,都是因第三方代码库导致的。那边的代码出的题目基础无所谓,重要的是这个代码跑在你的体系里。有才干本身写没题目的代码,出了题目不能甩锅第三方代码。 更况且,EOS裂痕恰好是EOS在行使第三方代码库的时辰出的题目。 第三方代码库,固然是第三方写的,被EOS复制粘贴了进来,但着实也是在EOS焦点组件中,才会有这么严峻的题目。 关于可执行内存和root权限,则是他们对付裂痕的误解。 第一,这个裂痕可以得到长途的代码执行权限,这就是最高权限和裂痕做到的第一流别了,不必要什么改写可执行内存; 第二,是否能获取root权限,取决与节点行使什么权限来运行EOSOS,虽然,假如节点安详设置公道,那么也许是用户权限而不是ROOT权限,但这丝绝不影响这个裂痕的危害性,也等于说,纵然获取不到ROOT权限,这个裂痕一样可以完全节制EOS收集的节点,对EOS收集做任何想做的事,这是由于通过裂痕,进攻者可以获代替码执行权限,就相等于可以和EOS代码一样,对EOS收集、买卖营业、应用、区块做任何想做的事。 Bianews:是不是可以简朴领略为传统互联网裂痕执行必要root权限,区块链由于许多节点组成且同步,以是只要有节点权限就行了? 郑文彬:传统互联网也不必然必要root权限。我们在演示测试的呆板上用了root权限运行,BM一开始看到了这点想借此辩驳,可是其拭魅找错了重点。 将遵循安详社区准则和操守 Bianews:有人称,360在通告中强调了裂痕的伤害,有做空EOS 的怀疑,您怎么看?昨天360团队称会有职业操守,详细实践中该怎样担保?
郑文彬:关于做空,我前面已经说起。毫不行能是做空,要做空不留到上线再做空?我认为这么想的无疑是蠢。 我们遵循认真任的裂痕陈诉流程,陈诉,修复,传递,这就是职业操守。就像许多人说的,完全可以比及上线了报,这无论是做空照旧营销,都极为吻合,并且正当。 但我们是安详公司,遵循安详社区的准则和操守,也是为了促进社区和区块链的安详,才去按流程做,乃至许多时辰都是冷静孝顺差池外,好比我们之前发明白那么多钱包、矿池、智能合约的裂痕,也没有轰轰烈烈对外宣传,这次的裂痕确实影响严峻,以是才宣布通告(行使的语言和表达,也是严谨、公道、理性和精准的),是但愿引起区块链、数字钱币规模对裂痕,尤其是新型高危裂痕的存眷,最终是为了增长安详性、掩护用户。 会与区块链社区增强雷同,更好披露裂痕 Bianews:有说法称360想与EOS相助,但被拒绝,是否有此事? 为什么选择参加EOS节点竞选的老猫、欧链作为相助搭档? 郑文彬:这个题目老周答复过,我们和EOS没有直接的相助,也没有所谓被拒绝的事,纯属瞎编,我们此刻裂痕陈诉、给他们提供安详提议上,都有许多雷同。不存在什么被拒绝之类的事。 Bianews:老周说将来会基于区块链安详生态推出三个体系,区块链生态安详办理方案,这块是安详团队认真吗?照旧一个区块链的单独部分?除了环绕区块链安详,360是否会亲身做区块链项目? 郑文彬:这块我们有专门的安详团队认真,可以参考bcsec.360.cn。 Bianews:最后,跟互联网差异,区块链裂痕跟币情相干,影响到诸多用户,此后在披露裂痕时,会不会有更好的机制?简朴归纳综合下区块链安详跟pc、互联网、物联网安详的差异,必要留意的处所,感谢。 郑文彬:裂痕披露这块,无论是互联网照旧区块链,城市影响到许多用户,方方面面,并没有什么差异,尤其此刻万物互联,裂痕对平凡人、对民生国情有了更深入的影响。好比之前“永恒之蓝”病毒,让许多医院加油站破产,职能单元瘫痪,也不必然就比假造钱币的一点涨幅影响来得小。 此刻在安详业界,我们回收认真任的披露、相助的裂痕披露模式等,都是有现成的流程和准则的,我们会和区块链社区有更多的雷同和领略,更好地披露裂痕。 区块链和PC、互联网、物联网这个话题较量大,简朴来说,它们(包罗人工智能)也都是代码构成(包罗固件、硬件的代码),只要是人编写的代码就会有安详题目。必要做的就是加大对安详题目的正视、重视、存眷和投入,才气停止更多题目。
(编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |