在Clojure编译器中的Spectre缓解措施

Question

我在到处寻找，但找不到Clojure编译器对Spectre攻击的任何缓解措施！我不知道我的问题是否正确，或者它是否可行，但你们知道Clojure编译器是否对Spectre攻击的不同变体（Spectre v1 (Spectre-PHT), v2 (Spectre-BTB), v4 (Spectre-STL)和v5 (Spectre-RSB)）有缓解吗？
期待大家的回复；)

Answer 1

我不是专家，但似乎在编译器中修复这种漏洞是错误的。一些详细情况：[链接](https://mail.openjdk.java.net/pipermail/vuln-announce/2019-July/000002.html)

Comments

我真心不认为这是一个经验法则。你可以看到某些编译器中有一些缓解措施！

[链接](https://gcc.gnu.org/onlinedocs/gcc-10.2.0/gcc/Other-Builtins.html#Other-Builtins)
[链接](https://gcc.gnu.org/legacy-ml/gcc-help/2018-06/msg00066.html)
[链接](https://devblogs.microsoft.com/cppblog/spectre-mitigations-in-msvc/)

Answer 2

Clojure 真的正依赖于 JVM 来实现这类功能，正如其他回答中提到的，JVM 团队已决定这并非他们能够解决的问题。

这一方案已在 http://openjdk.java.net/jeps/342 中进行探索。

Comments

当然，但这只是来自 OpenJDK 团队的观点吗？这是否与 Oracle 的其他 JDK 相同？

---

我认为开发者在选择安全的 JDK 上应该更加谨慎，并且在新补丁发布时保持其更新。