近期，網(wǎng)絡(luò)安全領(lǐng)域引發(fā)了一場(chǎng)關(guān)于網(wǎng)絡(luò)操作系統(tǒng)鏡像分發(fā)工具iVentoy的討論。這款由知名開(kāi)源工具Ventoy作者于去年6月推出的新項(xiàng)目，旨在通過(guò)網(wǎng)絡(luò)傳輸操作系統(tǒng)鏡像，實(shí)現(xiàn)多臺(tái)設(shè)備的系統(tǒng)啟動(dòng)與安裝，其便捷性備受關(guān)注。然而，5月7日發(fā)布的一篇技術(shù)博客指出，iVentoy的1.0.2版本存在潛在安全問(wèn)題，引起了用戶和業(yè)內(nèi)人士的廣泛關(guān)注。

據(jù)了解，iVentoy作為PXE服務(wù)器的增強(qiáng)版，支持x86 Legacy BIOS、IA32 UEFI、x86_64 UEFI和ARM64 UEFI等多種啟動(dòng)模式，能夠兼容超過(guò)110種操作系統(tǒng)，包括Windows、Linux和VMware等。其操作簡(jiǎn)便，管理員只需將ISO鏡像放置到指定目錄，客戶端便可通過(guò)PXE啟動(dòng)方式加載系統(tǒng)鏡像進(jìn)行安裝，這一特點(diǎn)使其在市場(chǎng)上獲得了不少青睞。

然而，近日一些用戶在GitHub及Reddit平臺(tái)上反饋稱，在Windows系統(tǒng)下安裝iVentoy 1.0.2版本時(shí)，發(fā)現(xiàn)該工具會(huì)加載未經(jīng)驗(yàn)證的內(nèi)核驅(qū)動(dòng)，并附帶一個(gè)名為“JemmyLoveJenny EV Root CA0”的自簽名證書(shū)。這些文件在VirusTotal平臺(tái)上被標(biāo)記為可疑，同時(shí)Windows Defender也發(fā)出了警告提示，引發(fā)了用戶對(duì)iVentoy安全性的擔(dān)憂。

面對(duì)這一質(zhì)疑，iVentoy的開(kāi)發(fā)者Hailong Sun（網(wǎng)名longpanda）迅速作出回應(yīng)。他解釋說(shuō)，問(wèn)題源于工具在WinPE環(huán)境中使用了開(kāi)源項(xiàng)目httpdisk的驅(qū)動(dòng)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)掛載ISO鏡像。由于Windows系統(tǒng)要求驅(qū)動(dòng)必須經(jīng)過(guò)簽名，他曾嘗試采用已簽名的httpdisk驅(qū)動(dòng)版本，但遺憾的是，新版Windows不再接受該簽名。為了解決這個(gè)問(wèn)題，他最終選擇以測(cè)試模式啟動(dòng)WinPE來(lái)繞過(guò)簽名檢查。

同時(shí)，Hailong Sun強(qiáng)調(diào)，這些未簽名的驅(qū)動(dòng)僅在內(nèi)存中運(yùn)行，并不會(huì)寫(xiě)入最終的操作系統(tǒng)。他還透露，在最新發(fā)布的1.0.21版本中，已經(jīng)移除了涉及問(wèn)題的驅(qū)動(dòng)代碼和證書(shū)調(diào)用邏輯，從而消除了潛在的安全隱患。

此次事件再次提醒了廣大用戶，在選擇和使用開(kāi)源工具時(shí)，需要謹(jǐn)慎評(píng)估其安全性。同時(shí)，對(duì)于開(kāi)發(fā)者而言，也需要在追求功能便捷性的同時(shí)，更加注重產(chǎn)品的安全性和穩(wěn)定性。