近期，網(wǎng)絡(luò)安全領(lǐng)域引發(fā)了一場關(guān)于網(wǎng)絡(luò)操作系統(tǒng)鏡像分發(fā)工具iVentoy的討論。這款由知名開源工具Ventoy作者于去年6月推出的新項目，旨在通過網(wǎng)絡(luò)傳輸操作系統(tǒng)鏡像，實現(xiàn)多臺設(shè)備的系統(tǒng)啟動與安裝，其便捷性備受關(guān)注。然而，5月7日發(fā)布的一篇技術(shù)博客指出，iVentoy的1.0.2版本存在潛在安全問題，引起了用戶和業(yè)內(nèi)人士的廣泛關(guān)注。

據(jù)了解，iVentoy作為PXE服務(wù)器的增強版，支持x86 Legacy BIOS、IA32 UEFI、x86_64 UEFI和ARM64 UEFI等多種啟動模式，能夠兼容超過110種操作系統(tǒng)，包括Windows、Linux和VMware等。其操作簡便，管理員只需將ISO鏡像放置到指定目錄，客戶端便可通過PXE啟動方式加載系統(tǒng)鏡像進行安裝，這一特點使其在市場上獲得了不少青睞。

然而，近日一些用戶在GitHub及Reddit平臺上反饋稱，在Windows系統(tǒng)下安裝iVentoy 1.0.2版本時，發(fā)現(xiàn)該工具會加載未經(jīng)驗證的內(nèi)核驅(qū)動，并附帶一個名為“JemmyLoveJenny EV Root CA0”的自簽名證書。這些文件在VirusTotal平臺上被標(biāo)記為可疑，同時Windows Defender也發(fā)出了警告提示，引發(fā)了用戶對iVentoy安全性的擔(dān)憂。

面對這一質(zhì)疑，iVentoy的開發(fā)者Hailong Sun（網(wǎng)名longpanda）迅速作出回應(yīng)。他解釋說，問題源于工具在WinPE環(huán)境中使用了開源項目httpdisk的驅(qū)動來實現(xiàn)網(wǎng)絡(luò)掛載ISO鏡像。由于Windows系統(tǒng)要求驅(qū)動必須經(jīng)過簽名，他曾嘗試采用已簽名的httpdisk驅(qū)動版本，但遺憾的是，新版Windows不再接受該簽名。為了解決這個問題，他最終選擇以測試模式啟動WinPE來繞過簽名檢查。

同時，Hailong Sun強調(diào)，這些未簽名的驅(qū)動僅在內(nèi)存中運行，并不會寫入最終的操作系統(tǒng)。他還透露，在最新發(fā)布的1.0.21版本中，已經(jīng)移除了涉及問題的驅(qū)動代碼和證書調(diào)用邏輯，從而消除了潛在的安全隱患。

此次事件再次提醒了廣大用戶，在選擇和使用開源工具時，需要謹(jǐn)慎評估其安全性。同時，對于開發(fā)者而言，也需要在追求功能便捷性的同時，更加注重產(chǎn)品的安全性和穩(wěn)定性。