美安全专家认为Oracle-沃尔玛-TikTok交易不够安全

chaomeili

Oracle-沃尔玛-TikTok三方交易引起了安全从业人员的极大兴趣，这种史无前例的合作模式，引发了关于最佳安全实践的广泛探讨。
　　近日[url=]网络安全[/url]专家Jimmy Tom撰文指出，Oracle-沃尔玛-TikTok三方交易并没有看起来那么安全，甚至制造了虚假的安全感。
　　Tom认为，最初业界预计字节跳动将把[url=]TikTok[/url]在美国的业务全部出售给一家美国公司，但现在代之以某种程度不那么令人满意的“可信[url=]技术[/url]合作伙伴关系”，字节跳动将继续保留其人工智能推荐算法和源代码，而甲骨文将拥有“检查TikTok美国源代码的权限”。Tom认为这并不意味着完全的可见性：“不幸的是，这与TikTok软件或其基础推荐算法的任何新版本的源代码编译，部署和实现的完全可见性都相去甚远。因为此交易的初衷是保护Tiktok美国用户的[url=]数据安全[/url]，所以现在所谓对源代码的完全可见性似乎有些跑偏，这使人们怀疑谁将从这种安排中受益。”
　　除了对安全可见性的质疑外，Tom还认为因为目前的三方交易程序缺乏（完整的）监管链。在安全界，这是一个巨大的[url=]漏洞[/url]。
　　“监管链”是指围绕信息控制展开的时序事件。在执法部门犯罪现场的证据处理中经常见到，但在日常[url=]生活[/url]中并不鲜见。例如当您在一家餐厅点了一瓶葡萄酒后，服务员会将密封的瓶子带给您进行检查，将瓶子打开，由您现场完成对样品的最初嗅探和品尝工作，瓶子永远不会离开您的桌子或您的视线。
　　Tom认为[url=]Oracle[/url]的加入并不能形成完整的“监管链”，Oracle是否可以绝对确定所检查的源代码与TikTok更新中已编译并发布的生产环境代码相同？在不完全了解实际开发过程的情况下，如何100％确定？TikTok代码中引用的其他库呢？Oracle可以确保对外部库的函数调用与它已审查的函数相同吗？在[url=]软件开发[/url]过程中定期进行的增量代码修订又如何解决调试过程中发现的问题，进行了较小的更正呢？
　　“没有这种级别的可见性和审查，Oracle将无法证明所检查的Tiktok代码是可信任的，并且其中没有任何猫腻。”Tom指出：“虽然我同意甲骨文作为美国数据保管人是一个良好的开端，但这还远远不够。Oracle需要知道数据在由软件处理时会发生什么，并且该数据只能流向规定的地方。”