请选择 进入手机版 | 继续访问电脑版

湖南新梦想

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 542|回复: 0

美安全专家认为Oracle-沃尔玛-TikTok交易不够安全

[复制链接]

2775

主题

3174

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
11260
发表于 2020-12-3 17:13:56 | 显示全部楼层 |阅读模式
Oracle-沃尔玛-TikTok三方交易引起了安全从业人员的极大兴趣,这种史无前例的合作模式,引发了关于最佳安全实践的广泛探讨。
  近日[url=]网络安全[/url]专家Jimmy Tom撰文指出,Oracle-沃尔玛-TikTok三方交易并没有看起来那么安全,甚至制造了虚假的安全感。
  Tom认为,最初业界预计字节跳动将把[url=]TikTok[/url]在美国的业务全部出售给一家美国公司,但现在代之以某种程度不那么令人满意的“可信[url=]技术[/url]合作伙伴关系”,字节跳动将继续保留其人工智能推荐算法和源代码,而甲骨文将拥有“检查TikTok美国源代码的权限”。Tom认为这并不意味着完全的可见性:“不幸的是,这与TikTok软件或其基础推荐算法的任何新版本的源代码编译,部署和实现的完全可见性都相去甚远。因为此交易的初衷是保护Tiktok美国用户的[url=]数据安全[/url],所以现在所谓对源代码的完全可见性似乎有些跑偏,这使人们怀疑谁将从这种安排中受益。”
  除了对安全可见性的质疑外,Tom还认为因为目前的三方交易程序缺乏(完整的)监管链。在安全界,这是一个巨大的[url=]漏洞[/url]
  “监管链”是指围绕信息控制展开的时序事件。在执法部门犯罪现场的证据处理中经常见到,但在日常[url=]生活[/url]中并不鲜见。例如当您在一家餐厅点了一瓶葡萄酒后,服务员会将密封的瓶子带给您进行检查,将瓶子打开,由您现场完成对样品的最初嗅探和品尝工作,瓶子永远不会离开您的桌子或您的视线。
  Tom认为[url=]Oracle[/url]的加入并不能形成完整的“监管链”,Oracle是否可以绝对确定所检查的源代码与TikTok更新中已编译并发布的生产环境代码相同?在不完全了解实际开发过程的情况下,如何100%确定?TikTok代码中引用的其他库呢?Oracle可以确保对外部库的函数调用与它已审查的函数相同吗?在[url=]软件开发[/url]过程中定期进行的增量代码修订又如何解决调试过程中发现的问题,进行了较小的更正呢?
  “没有这种级别的可见性和审查,Oracle将无法证明所检查的Tiktok代码是可信任的,并且其中没有任何猫腻。”Tom指出:“虽然我同意甲骨文作为美国数据保管人是一个良好的开端,但这还远远不够。Oracle需要知道数据在由软件处理时会发生什么,并且该数据只能流向规定的地方。”

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|湖南新梦想 ( 湘ICP备18019834号-2 )

GMT+8, 2022-6-29 14:02 , Processed in 0.041898 second(s), 20 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表