LLVM 安全群組透明度報告

此頁面列出 LLVM 安全群組的年度透明度報告。

2021

LLVM 安全群組 於 2020 年 7 月 10 日成立，由初始提交 描述了群組的目的和遵循的流程。該群組的許多流程仍然不夠完善，無法讓群組順利運作。在 2021 年期間，關鍵流程得到了充分的定義，使群組能夠合理地運作。

• 我們詳細定義了如何報告安全問題，請參閱2021 年 5 月 20 日的此提交

• 我們完善了新成員的提名流程，請參閱2021 年 7 月 30 日的此提交

• 我們開始撰寫年度透明度報告（您正在閱讀的是 2021 年的報告）。

在 2021 年期間，有 2 人離開了 LLVM 安全群組，4 人加入。

2021 年，安全群組收到了 13 份在 2021 年 12 月 31 日之前公開發布的問題報告。安全群組判斷其中 2 份報告為安全問題。

• https://bugs.chromium.org/p/llvm/issues/detail?id=5

• https://bugs.chromium.org/p/llvm/issues/detail?id=11

這兩個問題都已透過原始碼變更解決：#5 在 clangd/vscode-clangd 中，#11 在 llvm-project 中。兩者都沒有發布專門的 LLVM 版本。

我們相信，隨著第一份年度透明度報告的發布，安全群組現在已經實施了所有必要的流程，以確保群組能夠按承諾運作。該群組的流程可以進一步改進，我們確實期望在 2022 年實施進一步的改進。許多潛在的改進最終都會在LLVM 安全群組的每月公開電話會議中討論。

2022

在本節中，我們將報告該小組在 2022 年收到的問題，或在 2022 年之前收到但在 2022 年披露的問題。

2022 年，llvm 安全小組收到了 15 個問題，這些問題在撰寫本透明度報告時已公開。

其中 5 個被判定為安全問題

• https://bugs.chromium.org/p/llvm/issues/detail?id=17 報告了 LLVM 中的一個錯誤編譯問題，該問題可能導致覆蓋框架指標和返回地址。這個問題已經修復。

• https://bugs.chromium.org/p/llvm/issues/detail?id=19 報告了 libc++ 中 std::filesystem::remove_all 的漏洞。這個問題已經修復。

• https://bugs.chromium.org/p/llvm/issues/detail?id=23 報告了一個新的 Spectre 側通道攻擊變種，推測載入強化 (SLH) 並沒有對其進行防護。目前尚未對 SLH 進行擴展以防護這種變種攻擊。

• https://bugs.chromium.org/p/llvm/issues/detail?id=30 報告了 (C++) 異常處理路徑上缺少記憶體安全防護。目前已經實施了一些修復措施。

• https://bugs.chromium.org/p/llvm/issues/detail?id=33 報告了 RETBLEED 漏洞。結果是 clang 新增了一個新的安全性強化功能 -mfunction-return=thunk-extern，請參閱 https://reviews.llvm.org/D129572。

針對上述任何問題，都沒有發布專門的 LLVM 版本。

2023

在本節中，我們將報告該小組在 2023 年收到的問題，或是在 2023 年之前收到但在 2023 年公開的問題。

其中 9 個被判定為安全問題

https://bugs.chromium.org/p/llvm/issues/detail?id=36 報告在 https://llvm.dev.org.tw/.git 中存在 .git 資料夾。

https://bugs.chromium.org/p/llvm/issues/detail?id=66 報告在 DockerHub 映像檔中存在 GitHub 個人存取權杖。

https://bugs.chromium.org/p/llvm/issues/detail?id=42 報告了 Armv8.1-m BTI 保護中的一個潛在漏洞，該漏洞涉及大型 switch 語句和預設情況下的 __builtin_unreachable() 的組合。

https://bugs.chromium.org/p/llvm/issues/detail?id=43 報告了對舊版本 xml2js 的依賴關係，該版本已提交 CVE。

https://bugs.chromium.org/p/llvm/issues/detail?id=45 報告了一些已報告存在漏洞的依賴關係。

https://bugs.chromium.org/p/llvm/issues/detail?id=46 與問題 43 相關。

https://bugs.chromium.org/p/llvm/issues/detail?id=48 報告了使用 -fexperimental-library 從 std::format 中發現的緩衝區溢位問題。

https://bugs.chromium.org/p/llvm/issues/detail?id=54 報告了在使用 libc++ 版本 <=6.0 構建並針對較新的 libc++ shared/dylibs 執行時，basic_string 移動賦值中的記憶體洩漏問題。

https://bugs.chromium.org/p/llvm/issues/detail?id=56 報告了由 LLVM 後端引入的超出範圍的緩衝區存放問題，該問題由於程序疏忽而復發。

針對上述任何問題，都沒有發布專門的 LLVM 版本。

在 2023 年期間，我們有一個人加入了 LLVM 安全小組。