カーネル開発のコンテキストで「禁輸」はどのように機能しますか?
最新のIntelx86の脆弱性については多くのノイズがありました。 PostgreSQL、Linuxリスト、Intel、AMDに関する投稿を見たことがありますが、すべて何が起こっているのかについて漠然と言及しています。
私はこの問題についてもかなり良くて説得力のある記事をいくつか見ました。それは典型的な shtf 問題のようです。禁輸措置に署名したユーザーのリストがあるかどうか疑問に思いますか?この「禁輸措置」は、開発者を拘束する正式なものですか?それとも、建設的な労働環境を作ることは非公式なことですか?
私は、インテルとの正式な契約を受け入れ、契約上秘密に拘束されているすべてのカーネル開発者を描いています。
Google Project Zeroが詳細な 手元の脆弱性に関する投稿 を禁輸日の前に公開したことに注意してください。脆弱性は Spectre and Meltdown として知られています。
これは一般的な回答であり、この脆弱性に固有のものではありません。禁輸措置は、実際には、脆弱性の詳細を覆い隠す一方で、そのトレーサビリティ(適切な人々が信用を得る)とその解決(それを修正するために必要な人々を関与させることによる)を確保するという紳士の合意です-時間の長さに応じて。
特にカーネルの場合、セキュリティプロセスは ここで説明 です。特に、1週間程度の非常に短い禁輸措置が必要です。ただし、通常、大きな問題へのセキュリティ対応は他の場所で議論され、さらに時間がかかる場合があります。
契約状況はさまざまです。一部の開発者は、雇用契約(および企業間の契約、NDAなど)の関連条項に拘束されます。他の人は、ある種の口頭での合意(または電子メールなど)によってのみ拘束されます。禁輸措置の取り扱いもプロジェクトごとに異なり、事件ごとにさえ異なります。禁輸条件が定義され、すべての参加者に明示されることを望んでいますが、常にそうであるとは限りません。通常、禁輸の参加者の多かれ少なかれ正式なリストがあり(さまざまな電子メールのCCリストのみの場合)、誰を引き込むことができるかについての規則があります(一般的に言えば、できるだけ少ない人ですが、それでも時々多くの人々)。最終的に、開発者は名誉に縛られ、おそらくより正確には評判に縛られます。禁輸措置を台無しにすると、将来の禁輸措置に関与する可能性が低くなります(これにより作業が困難になる可能性があります)。
おそらくインテルの従業員を除いて、この特定の禁輸措置のすべての参加者とインテルとの間に正式な契約があるかどうかは非常に疑わしいです(そのような状況はとにかく彼らの雇用契約によってカバーされる可能性があります)。
ディストリビューションリスト「禁輸情報の取り扱い」ページ から始まる多くの場所で関連情報を見つけることができます。