.. SPDX-License-Identifier: GPL-2.0
.. include:: ../disclaimer-zh_TW.rst
:Original: :ref:`Documentation/process/embargoed-hardware-issues.rst <embargoed_hardware_issues>`
:Translator: Alex Shi <alex.shi@linux.alibaba.com>
Hu Haowen <2023002089@link.tyut.edu.cn>
被é™åˆ¶çš„硬件å•é¡Œ
================
範åœ
----
導致安全å•é¡Œçš„硬件å•é¡Œèˆ‡éš»å½±éŸ¿Linuxå…§æ ¸çš„ç´”è»Ÿä»¶éŒ¯èª¤æ˜¯ä¸åŒçš„安全錯誤類別。
å¿…é ˆå€åˆ¥å°å¾…諸如熔燬(Meltdown)ã€Spectreã€L1TFç‰ç¡¬ä»¶å•é¡Œï¼Œå› 爲它們通常會影響
所有æ“作系統(“OSâ€ï¼‰ï¼Œå› æ¤éœ€è¦åœ¨ä¸åŒçš„OS供應商ã€ç™¼è¡Œç‰ˆã€ç¡¬ä»¶ä¾›æ‡‰å•†å’Œå…¶ä»–å„æ–¹
之間進行å”調。å°æ–¼æŸäº›å•é¡Œï¼Œè»Ÿä»¶ç·©è§£å¯èƒ½ä¾è³´æ–¼å¾®ç¢¼æˆ–固件更新,這需è¦é€²ä¸€æ¥çš„
å”調。
.. _tw_Contact:
接觸
----
Linuxå…§æ ¸ç¡¬ä»¶å®‰å…¨å°çµ„ç¨ç«‹æ–¼æ™®é€šçš„Linuxå…§æ ¸å®‰å…¨å°çµ„。
該å°çµ„åªè² 責å”調被é™åˆ¶çš„硬件安全å•é¡Œã€‚Linuxå…§æ ¸ä¸ç´”軟件安全æ¼æ´žçš„å ±å‘Šä¸ç”±è©²
å°çµ„處ç†ï¼Œå ±å‘Šè€…將被引導至常è¦Linuxå…§æ ¸å®‰å…¨å°çµ„(:ref:`Documentation/admin-guide/
<securitybugs>`)è¯ç¹«ã€‚
å¯ä»¥é€šéŽé›»å郵件 <hardware-security@kernel.org> 與å°çµ„è¯ç¹«ã€‚這是一份ç§å¯†çš„安全
官åå–®ï¼Œä»–å€‘å°‡å¹«åŠ©æ‚¨æ ¹æ“šæˆ‘å€‘çš„æ–‡æª”åŒ–æµç¨‹å”調å•é¡Œã€‚
éƒµä»¶åˆ—è¡¨æ˜¯åŠ å¯†çš„ï¼Œç™¼é€åˆ°åˆ—表的電å郵件å¯ä»¥é€šéŽPGP或S/MIMEåŠ å¯†ï¼Œä¸¦ä¸”å¿…é ˆä½¿ç”¨å ±å‘Š
者的PGP密鑰或S/MIMEè‰æ›¸ç±¤å。該列表的PGP密鑰和S/MIMEè‰æ›¸å¯å¾ž
https://www.kernel.org/.... ç²å¾—。
雖然硬件安全å•é¡Œé€šå¸¸ç”±å—影響的硬件供應商處ç†ï¼Œä½†æˆ‘們æ¡è¿Žç™¼ç¾æ½›åœ¨ç¡¬ä»¶ç¼ºé™·çš„ç ”ç©¶
人員或個人與我們è¯ç¹«ã€‚
硬件安全官
^^^^^^^^^^
ç›®å‰çš„硬件安全官å°çµ„:
- Linus Torvalds(Linux基金會院士)
- Greg Kroah Hartman(Linux基金會院士)
- Thomas Gleixner(Linux基金會院士)
郵件列表的æ“作
^^^^^^^^^^^^^^
處ç†æµç¨‹ä¸ä½¿ç”¨çš„åŠ å¯†éƒµä»¶åˆ—è¡¨è¨—ç®¡åœ¨Linux Foundationçš„IT基礎è¨æ–½ä¸Šã€‚通éŽæä¾›é€™é …
æœå‹™ï¼ŒLinux基金會的IT基礎è¨æ–½å®‰å…¨ç¸½ç›£åœ¨æŠ€è¡“上有能力訪å•è¢«é™åˆ¶çš„ä¿¡æ¯ï¼Œä½†æ ¹æ“šä»–
的僱å‚åˆåŒï¼Œä»–å¿…é ˆä¿å¯†ã€‚Linux基金會的IT基礎è¨æ–½å®‰å…¨ç¸½ç›£é‚„è² è²¬ kernel.org 基礎
è¨æ–½ã€‚
Linux基金會目å‰çš„IT基礎è¨æ–½å®‰å…¨ç¸½ç›£æ˜¯ Konstantin Ryabitsev。
ä¿å¯†å”è°
--------
Linuxå…§æ ¸ç¡¬ä»¶å®‰å…¨å°çµ„ä¸æ˜¯æ£å¼çš„æ©Ÿæ§‹ï¼Œå› æ¤ç„¡æ³•ç°½è¨‚任何ä¿å¯†å”è°ã€‚æ ¸å¿ƒç¤¾å€æ„è˜åˆ°
這些å•é¡Œçš„æ•æ„Ÿæ€§ï¼Œä¸¦æ供了一份諒解備忘錄。
諒解備忘錄
----------
Linuxå…§æ ¸ç¤¾å€æ·±åˆ»ç†è§£åœ¨ä¸åŒæ“作系統供應商ã€ç™¼è¡Œå•†ã€ç¡¬ä»¶ä¾›æ‡‰å•†å’Œå…¶ä»–å„方之間
進行å”調時,ä¿æŒç¡¬ä»¶å®‰å…¨å•é¡Œè™•æ–¼é™åˆ¶ç‹€æ…‹çš„è¦æ±‚。
Linuxå…§æ ¸ç¤¾å€åœ¨éŽåŽ»å·²ç¶“æˆåŠŸåœ°è™•ç†äº†ç¡¬ä»¶å®‰å…¨å•é¡Œï¼Œä¸¦ä¸”有必è¦çš„機制å…許在é™åˆ¶
é™åˆ¶ä¸‹é€²è¡Œç¬¦åˆç¤¾å€çš„開發。
Linuxå…§æ ¸ç¤¾å€æœ‰ä¸€å€‹å°ˆé–€çš„硬件安全å°çµ„è² è²¬åˆå§‹è¯ç¹«ï¼Œä¸¦ç›£ç£åœ¨é™åˆ¶è¦å‰‡ä¸‹è™•ç†
æ¤é¡žå•é¡Œçš„éŽç¨‹ã€‚
硬件安全å°çµ„ç¢ºå®šé–‹ç™¼äººå“¡ï¼ˆé ˜åŸŸå°ˆå®¶ï¼‰ï¼Œä»–å€‘å°‡çµ„æˆç‰¹å®šå•é¡Œçš„åˆå§‹éŸ¿æ‡‰å°çµ„。最åˆ
的響應å°çµ„å¯ä»¥å¼•å…¥æ›´å¤šçš„é–‹ç™¼äººå“¡ï¼ˆé ˜åŸŸå°ˆå®¶ï¼‰ä»¥æœ€ä½³çš„æŠ€è¡“æ–¹å¼è§£æ±ºé€™å€‹å•é¡Œã€‚
所有相關開發商承諾éµå®ˆé™åˆ¶è¦å®šï¼Œä¸¦å°æ”¶åˆ°çš„ä¿¡æ¯ä¿å¯†ã€‚é•å承諾將導致立å³å¾žç•¶å‰
å•é¡Œä¸æŽ’除,並從所有相關郵件列表ä¸åˆªé™¤ã€‚æ¤å¤–,硬件安全å°çµ„還將把é•å者排除在
未來的å•é¡Œä¹‹å¤–。這一後果的影響在我們社å€æ˜¯ä¸€ç¨®éžå¸¸æœ‰æ•ˆçš„å¨æ‡¾ã€‚如果發生é•è¦
情æ³ï¼Œç¡¬ä»¶å®‰å…¨å°çµ„將立å³é€šçŸ¥ç›¸é—œæ–¹ã€‚如果您或任何人發ç¾æ½›åœ¨çš„é•è¦è¡Œçˆ²ï¼Œè«‹ç«‹å³
å‘ç¡¬ä»¶å®‰å…¨äººå“¡å ±å‘Šã€‚
æµç¨‹
^^^^
由於Linuxå…§æ ¸é–‹ç™¼çš„å…¨çƒåˆ†ä½ˆå¼ç‰¹æ€§ï¼Œé¢å°é¢çš„會è°å¹¾ä¹Žä¸å¯èƒ½è§£æ±ºç¡¬ä»¶å®‰å…¨å•é¡Œã€‚
由於時å€å’Œå…¶ä»–å› ç´ ï¼Œé›»è©±æœƒè°å¾ˆé›£å”調,åªèƒ½åœ¨çµ•å°å¿…è¦æ™‚ä½¿ç”¨ã€‚åŠ å¯†é›»å郵件已被
è‰æ˜Žæ˜¯è§£æ±ºæ¤é¡žå•é¡Œçš„最有效和最安全的通信方法。
開始披露
""""""""
披露內容首先通éŽé›»å郵件è¯ç¹«Linuxå…§æ ¸ç¡¬ä»¶å®‰å…¨å°çµ„。æ¤åˆå§‹è¯ç¹«äººæ‡‰åŒ…å«å•é¡Œçš„
æ述和任何已知å—å½±éŸ¿ç¡¬ä»¶çš„åˆ—è¡¨ã€‚å¦‚æžœæ‚¨çš„çµ„ç¹”è£½é€ æˆ–åˆ†ç™¼å—影響的硬件,我們建è°
您也考慮哪些其他硬件å¯èƒ½æœƒå—到影響。
硬件安全å°çµ„å°‡æä¾›ä¸€å€‹ç‰¹å®šæ–¼äº‹ä»¶çš„åŠ å¯†éƒµä»¶åˆ—è¡¨ï¼Œç”¨æ–¼èˆ‡å ±å‘Šè€…é€²è¡Œåˆæ¥è¨Žè«–ã€
進一æ¥æŠ«éœ²å’Œå”調。
硬件安全å°çµ„å°‡å‘披露方æä¾›ä¸€ä»½é–‹ç™¼äººå“¡ï¼ˆé ˜åŸŸå°ˆå®¶ï¼‰å單,在與開發人員確èªä»–們
å°‡éµå®ˆæœ¬è«’解備忘錄和文件化æµç¨‹å¾Œï¼Œæ‡‰é¦–先告知開發人員有關該å•é¡Œçš„ä¿¡æ¯ã€‚這些開發
人員組æˆåˆå§‹éŸ¿æ‡‰å°çµ„,並在åˆå§‹æŽ¥è§¸å¾Œè² 責處ç†å•é¡Œã€‚硬件安全å°çµ„支æŒéŸ¿æ‡‰å°çµ„,
但ä¸ä¸€å®šåƒèˆ‡ç·©è§£é–‹ç™¼éŽç¨‹ã€‚
雖然個別開發人員å¯èƒ½é€šéŽå…¶åƒ±ä¸»å—到ä¿å¯†å”è°çš„ä¿è·ï¼Œä½†ä»–們ä¸èƒ½ä»¥Linuxå…§æ ¸é–‹ç™¼
人員的身份簽訂個別ä¿å¯†å”è°ã€‚但是,他們將åŒæ„éµå®ˆé€™ä¸€æ›¸é¢ç¨‹åºå’Œè«’解備忘錄。
披露方應æ供已經或應該被告知該å•é¡Œçš„所有其他實體的è¯ç¹«äººå單。這有幾個目的:
- 披露的實體列表å…許跨行æ¥é€šä¿¡ï¼Œä¾‹å¦‚其他æ“作系統供應商ã€ç¡¬ä»¶ä¾›æ‡‰å•†ç‰ã€‚
- å¯è¯ç¹«å·²æŠ«éœ²çš„實體,指定應åƒèˆ‡ç·©è§£æŽªæ–½é–‹ç™¼çš„專家。
- 如果需è¦è™•ç†æŸä¸€å•é¡Œçš„專家å—僱於æŸä¸€ä¸Šå¸‚實體或æŸä¸€ä¸Šå¸‚實體的æˆå“¡ï¼Œå‰‡éŸ¿æ‡‰
å°çµ„å¯è¦æ±‚該實體披露該專家。這確ä¿å°ˆå®¶ä¹Ÿæ˜¯å¯¦é«”å應å°çµ„的一部分。
披露
""""
披露方通éŽç‰¹å®šçš„åŠ å¯†éƒµä»¶åˆ—è¡¨å‘åˆå§‹éŸ¿æ‡‰å°çµ„æ供詳細信æ¯ã€‚
æ ¹æ“šæˆ‘å€‘çš„ç¶“é©—ï¼Œé€™äº›å•é¡Œçš„æŠ€è¡“æ–‡æª”é€šå¸¸æ˜¯ä¸€å€‹è¶³å¤ çš„èµ·é»žï¼Œæœ€å¥½é€šéŽé›»å郵件進行
進一æ¥çš„技術澄清。
緩解開發
""""""""
åˆå§‹éŸ¿æ‡‰å°çµ„è¨ç½®åŠ 密郵件列表,或在é©ç•¶çš„情æ³ä¸‹é‡æ–°ä¿®æ”¹ç¾æœ‰éƒµä»¶åˆ—表。
使用郵件列表接近於æ£å¸¸çš„Linux開發éŽç¨‹ï¼Œä¸¦ä¸”在éŽåŽ»å·²ç¶“æˆåŠŸåœ°ç”¨æ–¼çˆ²å„種硬件安全
å•é¡Œé–‹ç™¼ç·©è§£æŽªæ–½ã€‚
郵件列表的æ“作方å¼èˆ‡æ£å¸¸çš„Linux開發相åŒã€‚發佈ã€è¨Žè«–和審查修補程åºï¼Œå¦‚æžœåŒæ„,
則應用於éžå…¬å…±gitå˜å„²åº«ï¼Œåƒèˆ‡é–‹ç™¼äººå“¡åªèƒ½é€šéŽå®‰å…¨é€£æŽ¥è¨ªå•è©²å˜å„²åº«ã€‚å˜å„²åº«åŒ…å«
é‡å°ä¸»ç·šå…§æ ¸çš„ä¸»é–‹ç™¼åˆ†æ”¯ï¼Œä¸¦æ ¹æ“šéœ€è¦çˆ²ç©©å®šçš„å…§æ ¸ç‰ˆæœ¬æä¾›å‘後移æ¤åˆ†æ”¯ã€‚
最åˆçš„響應å°çµ„å°‡æ ¹æ“šéœ€è¦å¾žLinuxå…§æ ¸é–‹ç™¼äººå“¡ç¤¾å€ä¸ç¢ºå®šæ›´å¤šçš„專家。引進專家å¯ä»¥
在開發éŽç¨‹ä¸çš„任何時候發生,需è¦åŠæ™‚處ç†ã€‚
如果專家å—僱於披露方æ供的披露清單上的實體或其æˆå“¡ï¼Œå‰‡ç›¸é—œå¯¦é«”å°‡è¦æ±‚å…¶åƒèˆ‡ã€‚
å¦å‰‡ï¼ŒæŠ«éœ²æ–¹å°‡è¢«å‘ŠçŸ¥å°ˆå®¶åƒèˆ‡çš„情æ³ã€‚諒解備忘錄涵蓋了專家,è¦æ±‚披露方確èªåƒèˆ‡ã€‚
如果披露方有令人信æœçš„ç†ç”±æ出異è°ï¼Œå‰‡å¿…é ˆåœ¨äº”å€‹å·¥ä½œæ—¥å…§æ出異è°ï¼Œä¸¦ç«‹å³èˆ‡äº‹ä»¶
å°çµ„解決。如果披露方在五個工作日內未作出回應,則視爲默許。
在確èªæˆ–解決異è°å¾Œï¼Œå°ˆå®¶ç”±äº‹ä»¶å°çµ„披露,並進入開發éŽç¨‹ã€‚
å”調發布
""""""""
有關å„方將å”商é™åˆ¶çµæŸçš„日期和時間。æ¤æ™‚,準備好的緩解措施集æˆåˆ°ç›¸é—œçš„å…§æ ¸æ¨¹ä¸
併發布。
雖然我們ç†è§£ç¡¬ä»¶å®‰å…¨å•é¡Œéœ€è¦å”調é™åˆ¶æ™‚間,但é™åˆ¶æ™‚間應é™åˆ¶åœ¨æ‰€æœ‰æœ‰é—œå„方制定ã€
測試和準備緩解措施所需的最çŸæ™‚間內。人爲地延長é™åˆ¶æ™‚間以滿足會è°è¨Žè«–日期或其他
éžæŠ€è¡“åŽŸå› ï¼Œæœƒçµ¦ç›¸é—œçš„é–‹ç™¼äººå“¡å’ŒéŸ¿æ‡‰å°çµ„å¸¶ä¾†äº†æ›´å¤šçš„å·¥ä½œå’Œè² æ“”ï¼Œå› çˆ²è£œä¸éœ€è¦
ä¿æŒæœ€æ–°ï¼Œä»¥ä¾¿è·Ÿè¹¤æ£åœ¨é€²è¡Œçš„ä¸Šæ¸¸å…§æ ¸é–‹ç™¼ï¼Œé€™å¯èƒ½æœƒé€ æˆè¡çªçš„更改。
CVE分é…
"""""""
硬件安全å°çµ„å’Œåˆå§‹éŸ¿æ‡‰å°çµ„都ä¸åˆ†é…CVE,開發éŽç¨‹ä¹Ÿä¸éœ€è¦CVE。如果CVE是由披露方
æ供的,則å¯ç”¨æ–¼æ–‡æª”ä¸ã€‚
æµç¨‹å°ˆä½¿
--------
爲了å”助這一進程,我們在å„組織è¨ç«‹äº†å°ˆä½¿ï¼Œä»–們å¯ä»¥å›žç”æœ‰é—œå ±å‘Šæµç¨‹å’Œé€²ä¸€æ¥è™•ç†
çš„å•é¡Œæˆ–æ供指導。專使ä¸åƒèˆ‡ç‰¹å®šå•é¡Œçš„披露,除éžéŸ¿æ‡‰å°çµ„或相關披露方æ出è¦æ±‚。
ç¾ä»»å°ˆä½¿åå–®:
============= ========================================================
ARM
AMD Tom Lendacky <thomas.lendacky@amd.com>
IBM
Intel Tony Luck <tony.luck@intel.com>
Qualcomm Trilok Soni <quic_tsoni@quicinc.com>
Microsoft Sasha Levin <sashal@kernel.org>
VMware
Xen Andrew Cooper <andrew.cooper3@citrix.com>
Canonical John Johansen <john.johansen@canonical.com>
Debian Ben Hutchings <ben@decadent.org.uk>
Oracle Konrad Rzeszutek Wilk <konrad.wilk@oracle.com>
Red Hat Josh Poimboeuf <jpoimboe@redhat.com>
SUSE Jiri Kosina <jkosina@suse.cz>
Amazon
Google Kees Cook <keescook@chromium.org>
============= ========================================================
如果è¦å°‡æ‚¨çš„çµ„ç¹”æ·»åŠ åˆ°å°ˆä½¿åå–®ä¸ï¼Œè«‹èˆ‡ç¡¬ä»¶å®‰å…¨å°çµ„è¯ç¹«ã€‚被æåçš„å°ˆä½¿å¿…é ˆå®Œå…¨
ç†è§£å’Œæ”¯æŒæˆ‘們的éŽç¨‹ï¼Œä¸¦ä¸”在Linuxå…§æ ¸ç¤¾å€ä¸å¾ˆå®¹æ˜“è¯ç¹«ã€‚
åŠ å¯†éƒµä»¶åˆ—è¡¨
------------
æˆ‘å€‘ä½¿ç”¨åŠ å¯†éƒµä»¶åˆ—è¡¨é€²è¡Œé€šä¿¡ã€‚é€™äº›åˆ—è¡¨çš„å·¥ä½œåŽŸç†æ˜¯ï¼Œç™¼é€åˆ°åˆ—表的電å郵件使用
列表的PGP密鑰或列表的/MIMEè‰æ›¸é€²è¡ŒåŠ 密。郵件列表軟件å°é›»å郵件進行解密,並
使用訂閱者的PGP密鑰或S/MIMEè‰æ›¸çˆ²æ¯å€‹è¨‚閱者分別å°å…¶é€²è¡Œé‡æ–°åŠ 密。有關郵件列表
軟件和用於確ä¿åˆ—表安全和數據ä¿è·çš„è¨ç½®çš„詳細信æ¯ï¼Œè«‹è¨ªå•:
https://www.kernel.org/....
é—œéµé»ž
^^^^^^
åˆæ¬¡æŽ¥è§¸è¦‹ :ref:`zh_Contact`. å°æ–¼ç‰¹å®šæ–¼äº‹ä»¶çš„郵件列表,密鑰和S/MIMEè‰æ›¸é€šéŽ
特定列表發é€çš„é›»å郵件傳éžçµ¦è¨‚閱者。
訂閱事件特定列表
^^^^^^^^^^^^^^^^
訂閱由響應å°çµ„處ç†ã€‚希望åƒèˆ‡é€šä¿¡çš„披露方將潛在訂戶的列表發é€çµ¦éŸ¿æ‡‰çµ„,以便
響應組å¯ä»¥é©—è‰è¨‚閱請求。
æ¯å€‹è¨‚戶都需è¦é€šéŽé›»å郵件å‘響應å°çµ„發é€è¨‚閱請求。電åéƒµä»¶å¿…é ˆä½¿ç”¨è¨‚é–±æœå‹™å™¨
çš„PGP密鑰或S/MIMEè‰æ›¸ç±¤å。如果使用PGPå¯†é‘°ï¼Œå‰‡å¿…é ˆå¾žå…¬é‘°æœå‹™å™¨ç²å¾—該密鑰,
並且ç†æƒ³æƒ…æ³ä¸‹è©²å¯†é‘°é€£æŽ¥åˆ°Linuxå…§æ ¸çš„PGP信任網。å¦è«‹åƒè¦‹:
https://www.kernel.org/signature.html.
響應å°çµ„é©—è‰è¨‚é–±è€…ï¼Œä¸¦å°‡è¨‚é–±è€…æ·»åŠ åˆ°åˆ—è¡¨ä¸ã€‚訂閱後,訂閱者將收到來自郵件列表
çš„é›»å郵件,該郵件列表使用列表的PGP密鑰或列表的/MIMEè‰æ›¸ç±¤å。訂閱者的電å郵件
客戶端å¯ä»¥å¾žç°½åä¸æå–PGP密鑰或S/MIMEè‰æ›¸ï¼Œä»¥ä¾¿è¨‚閱者å¯ä»¥å‘列表發é€åŠ 密電å
郵件。