/
漏洞报告 关键字列表
AI生成的漏洞报告质量提升,开源项目维护者工作负担加重
AI技术进步使得代码编写和评估能力显著提升,开源项目因此收到大量高质量但需要人工审查的漏洞报告。curl项目创始人表示,虽然AI垃圾报告减少了,但优质安全报告数量激增,给维护者带来更大工作量。Linux内核维护者也面临类似情况,AI辅助的漏洞报告质量提高但数量庞大。尽管报告质量改善,但多数并非真正需要修复的安全缺陷。一些组织已停止为漏洞报告提供奖励以减少不当激励。
密码学专家因 Rust 安全漏洞报告引发争议并遭禁言
自二月以来,加密学家Nadim Kobeissi试图修复Rust加密库中的关键漏洞,但却遭到忽视和封禁。他发现了hpke-rs包中的严重密码学漏洞,包括可导致AES-GCM明文完全恢复的随机数重用漏洞。尽管他多次尝试发布RustSec安全公告,但却被RustSec维护者驳回。争议涉及13个声称的漏洞,特别是影响Signal等平台的关键问题。另一位密码学家Valsorda认为Kobeissi的行为过于激进。此案突显了开源软件开发中的行为规范挑战。
白皮书
京公网安备 11010802021500号
