Apple 的安全研究平台正式公开上线

一直以来向苹果报告安全漏洞都是通过 product-security@apple.com 并使用 GPG 加密邮件的形式。

邮件沟通效率低下一直受到诟病，不仅难以跟踪报告修复时间状态，甚至还有不少人抱怨搞不清 CVE 对应自己的哪一个报告。

一段时间的内测之后苹果的安全平台正式公开上线（security.apple.com）。网站和国内大家熟知的各种 SRC 看上去大同小异。

同时一改团队神秘的作风，开始撰写技术博客介绍防御技术细节。而之前只发布安全白皮书，内容大多是顶层的设计，而不涉及细枝末节。

有人调侃 Apple 安全团队像个黑洞，一些知名的研究员加入之后就销声匿迹了。少数例外如 Pierre H. (@pedantcoder) 经常在网上发声，于是经常被截图登上各种 offensive research 技术演讲 ppt。熟悉 Apple 风格的人多少会对这个新博客感到惊讶。

第一篇博客技术文章非常长，介绍 kalloc_type 内存分配器。这里就不翻译搬运了。需要阅读这篇文章的研究员，早在 iOS 15 刚出来的时候就自己分析个七七八八了。

https://security.apple.com/blog/towards-the-next-generation-of-xnu-memory-safety/