安全大佬寫代碼也有翻車的時候。

近日，據外媒 ZDNet 報道，一位華為 L20 首席安全專家在 GitHub上發布了一個 Linux 內核強化補丁 HKSP ，不過，有意思的是，這個補丁很快被開發團隊 grsecurity 發現了一個“輕而易舉就能利用的”漏洞，立刻引起了熱議。

隨后，原作者也表示委屈，并站出來澄清原委：

這是我寫的 demo code，是為了快速驗證這些漏洞緩解措施是否有效的 poc 代碼，沒有加入安全參數檢查，被 grsecurity 的人借機炒作了起來，因為他們不想有人插入漏洞緩解領域的研究。

華為也表示：這是員工個人行為，不代表公司。

事情緣由是這樣的：

5 月 10 日，這位華為員工通過郵件列表提交給了官方的 Linux 內核項目。據稱該補丁命名為 HKSP（華為內核自我保護），還為 Linux 內核引入了一系列加強安全的選項，并表示進行此更改是為了限制惡意代碼創建分布式拒絕服務攻擊的能力，并限制發送欺騙數據包(具有偽造源 IP 地址的 TCP/IP 數據包)的能力。

眾所周知，大型科技公司通常會向 Linux 內核提交補丁。例如谷歌、微軟、亞馬遜和其他公司都貢獻了代碼，所以，HKSP 提交的文件快速引發了 Linux 社區的興趣，因為這可能表明華為希望盡可能為官方內核做出貢獻，于是該補丁也受到了嚴格的審查。

Linux 是一種開源電腦操作系統內核。它是一個用 C 語言寫成，符合 POSIX 標準的類 Unix 操作系統。

最早是由芬蘭 Linus Torvalds 為嘗試在英特爾 x86 架構上提供自由的類 Unix 操作系統而開發的。該計劃開始于 1991 年，在計劃的早期有一些 Minix 黑客提供了協助，而今天全球無數程序員正在為該計劃無償提供幫助。

緊接著，開發團隊 Grsecurity 卻表示，他們發現 HKSP 補丁引入了一個微不足道的可利用的“內核代碼中的漏洞。

開發團隊 Grsecurity 在帖子中指出，該補丁本身存在漏洞和弱點，并且缺少通常的威脅模型。雖然，補丁的發布者在 GitHub 上的作者標記為來自華為，但 Grsecurity 開發團隊在帖子中表示，目前尚不清楚發布的補丁集是否是華為的正式版本，或者該代碼是否已經在任何華為設備上發布。

此言論一出，立刻引起了廣泛討論，不少人指責華為試圖在 Linux 內核中偷偷引入漏洞。

隨后，華為也出面做了表態：華為沒有正式參與 HKSP 項目，盡管該項目在其名稱中使用了華為的名字，而且該項目是由該公司的一名高級安全工程師開發的。

并表示，該項目是由工程師創建并提交給 Linux 內核項目的，沒有得到正式支持，而且 HKSP 代碼從未在華為的任何官方產品中實際使用過。

“這只是個人與開源社區 Openwall 進行技術討論時使用的演示代碼。”

5 月 11 日，該補丁的作者也做了更新說明：本項目是我在業余時間做的研究，HKSP 的名字是我自己給的，與華為公司無關，沒有華為產品使用這些代碼。這個補丁代碼是我提出來的，因為一個人沒有足夠的精力去覆蓋每一件事情，所以缺乏像審查和測試這樣的質量保證。并且這個補丁只是一個演示代碼。

對此，你怎么看呢？

雷鋒網雷鋒網雷鋒網 (公眾號：雷鋒網)

參考資料：

【1】 https://www.zdnet.com/article/huawei-denies-involvement-in-buggy-linux-kernel-patch-proposal/

【2】 https://github.com/cloudsec/hksp/blob/master/hksp.patch

【3】 https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability

【4】 https://www.cnet.com/news/us-finds-huawei-has-backdoor-access-to-mobile-networks-globally-report-says/

【5】 https://mp.weixin.qq.com/s/3A86kdRrq_SxgEivlg5GCg

。