Clojure编译器中的Spectre缓解措施

Question

我在四处寻找，找不到Clojure编译器对Spectre攻击的任何缓解措施！我不知道我的问题是否正确，或者它是否可行，但您们知道Clojure编译器对Spectre攻击的不同变异（Specter v1（Spectre-PHT）、v2（Spectre-BTB）、v4（Spectre-STL）和v5（Spectre-RSB））是否有任何缓解措施吗？
期待您的回复；)

Answer 1

我不是专家，但看起来编译器不是修复此类漏洞的正确地方。一些细节：https://mail.openjdk.java.net/pipermail/vuln-announce/2019-July/000002.html

Comments

我真诚地不认为这是一个规则。你可以在其他一些编译器中看到，有些已经采取了缓解措施！

https://gcc.gnu.org/onlinedocs/gcc-10.2.0/gcc/Other-Builtins.html#Other-Builtins
https://gcc.gnu.org/legacy-ml/gcc-help/2018-06/msg00066.html
https://devblogs.microsoft.com/cppblog/spectre-mitigations-in-msvc/

Answer 2

Clojure严重依赖JVM来处理这类事情，正如其他回答中提到的，JVM团队决定这是他们无法解决的问题。

这在http://openjdk.java.net/jeps/342中进行过探讨。

Comments

是的，但这只是来自OpenJDK团队的问题吗？它与Oracle等其他JDK相同吗？

---

我认为这是开发者的责任去选择一个安全的JDK，并在新补丁发布时保持更新。