Clojure 编译器中的 Spectre 弱化措施

Question

我在到处寻找，但找不到 Clojure 编译器对 Spectre 攻击的任何缓解措施！我不知道我的问题是否正确或者是否可行，但你们知道 Clojure 编译器是否有针对 Spectre 攻击的不同变体（Spectre v1（Spectre-PHT），v2（Spectre-BTB），v4（Spectre-STL）和 v5（Spectre-RSB））的缓解措施吗？
期待听到您的回复；）

Answer 1

我不是专家，但看起来在编译器中修复此类漏洞是不正确的位置。一些细节： https://mail.openjdk.java.net/pipermail/vuln-announce/2019-July/000002.html

Comments

我真心不认为这是一条金科玉律。你可以看到有些编译器中还有一些缓解措施！

https://gcc.gnu.org/onlinedocs/gcc-10.2.0/gcc/Other-Builtins.html#Other-Builtins
https://gcc.gnu.org/legacy-ml/gcc-help/2018-06/msg00066.html
https://devblogs.microsoft.com/cppblog/spectre-mitigations-in-msvc/

Answer 2

Clojure 确实依赖于 JVM 来完成此类操作，正如在其他答案中提到的，JVM 团队已经决定这不是他们能解决的问题。

这一点已经在 http://openjdk.java.net/jeps/342 中进行了探讨。

Comments

是的，但这仅限于 OpenJDK 团队吗？这是否与其他 JDK，如 Oracle 的 JDK 相同？

---

我认为选择一个安全的 JDK 由开发者决定，并确保在新的补丁发布时保持其更新。