Clojure编译器中的Spectre缓解措施

Question

我在到处查找，但找不到Clojure编译器针对Spectre攻击的任何缓解措施！我不确定我的问题是否正确或是否可行，但你们知道Clojure编译器是否针对Spectre攻击的不同变体（Spectre v1 (Spectre-PHT)、v2 (Spectre-BTB)、v4 (Spectre-STL)和v5 (Spectre-RSB)）有缓解措施吗？
期待你们的回复；)

Answer 1

我不是专家，但我觉得这不是一个正确的修复漏洞的位置。一些细节：[链接](https://mail.openjdk.java.net/pipermail/vuln-announce/2019-July/000002.html)

Comments

我真心认为这并不像是一条经验法则。你可以看到在某些其他编译器中确实有一些缓解措施！

[链接](https://gcc.gnu.org/onlinedocs/gcc-10.2.0/gcc/Other-Builtins.html#Other-Builtins)
[链接](https://gcc.gnu.org/legacy-ml/gcc-help/2018-06/msg00066.html)
[链接](https://devblogs.microsoft.com/cppblog/spectre-mitigations-in-msvc/)

Answer 2

Clojure 真的很依赖于 JVM 来实现这类功能，如其他回答所提到的那样，JVM 团队已经决定这并不是他们能解决的问题。

这个问题在http://openjdk.java.net/jeps/342中有探讨。

Comments

是的，但这仅仅是 OpenJDK 团队吗？这是否与 Oracle 的其他 JDK 相同？

---

我认为这应该由开发者来选择一个安全可靠的 JDK，并随着新补丁的发布保持其更新。