关于最新的 Intel x86 漏洞有很多争议。我看过关于 PostgreSQL、Linux 列表、Intel、AMD 的帖子——所有这些都含糊地提到了正在发生的事情。
我也看到过一些关于这个问题的非常好的和令人信服的文章。看来是典型的什特夫问题。我想知道是否有签署禁运的用户列表?这个“禁运”是对开发商有约束力的正式事情吗?或者说,创造一个建设性的工作环境是一件非正式的事情吗?
我想象所有内核开发人员都接受了与英特尔的正式合同,并受合同保密约束。
答案1
请注意,谷歌零号项目发布了详细的发布手头的漏洞在禁运日期之前。这些漏洞被称为幽灵与崩溃。
这是一般性答案,并非针对此漏洞。禁运实际上是一种君子协议,将漏洞的细节保密,同时确保其可追踪性(以便适当的人获得信任)和解决方案(通过涉及必要的人员来修复它),以达成一致的协议:取决于时间的长短。
具体对于内核来说,安全进程是此处描述。特别是,它要求实行非常短的禁运,大约一周。但通常情况下,对重大问题的安全响应将在其他场所进行讨论,并且可能需要更长时间。
合同情况各不相同。部分开发商会受到雇佣合同(以及公司间合同、保密协议等)中相关条款的约束;其他人仅受某种口头协议(或电子邮件或其他方式)的约束。禁运处理也因项目不同、甚至事件不同而不同;您希望禁运条款得到定义并向所有参与者明确说明,但情况并非总是如此。通常会有一个或多或少正式的禁运参与者名单(如果只是各种电子邮件中的抄送名单),并规定允许谁被拉进来(一般来说,尽可能少的人,但有时这仍然是很多人)。最终,开发人员受到荣誉的约束,或者更准确地说,受到声誉的约束;搞乱禁运,你就不太可能卷入未来的禁运(这可能会让你的工作变得困难)。
我非常怀疑这一特定禁运的所有参与者与英特尔之间是否存在正式合同,也许英特尔员工除外(无论如何,这种情况很可能包含在他们的雇佣合同中)。
您可以在很多地方找到相关信息,首先是发行版列表“禁运信息的处理”页面。