本文转载自程序员的那些事
当地时间 21 日,Linux 内核维护者 Greg Kroah-Hartman 在内核邮件列表[1]中发文:《还原所有来自 umn.edu(明尼苏达大学)的提交》,并决定“拉黑”明大。
为什么 Greg 要这样做?
他在文中表示,“我一直想这么做,但最近的事件终于迫使我这么做了。”
Greg 说这话是有依据的。
因为出自明尼苏达大学(UMN)的提交中包含一系列“恶意”补丁,试图测试内核社区检查“已知恶意”修改的能力。
在第 42 届 IEEE 安全与隐私研讨会上发表的一篇题为《开源不安全:通过伪君子行为偷偷地引入漏洞》的论文中,可以找到那些“恶意”提交的结果。
该论文通过有意向内核递交含有安全漏洞的补丁,测试悄悄向开源软件引入漏洞的可行性,其署名作者是明尼苏达大学的博士生 Qiushi Wu 和助理教授 Kangjie Lu。
因此,必须从内核源码树中还原所有明大的提交,并需要重新审查,以确定是否确实是有效的修复补丁。在工作完成之前还原修复,以确保代码库中没有引入任何问题。
当事人称试验没有造成伤害,还顺带修复了 Bug
2020 年 11 月, Kangjie Lu 教授曾解释说,这项研究的试验方法并没有造成实际伤害,他还顺便帮助修复了三 个bug,而且这个研究也向明尼苏达大学做了 IRB 申请,并获得了同意。
(截图来自“机器之心”的翻译)
不过 Kangjie Lu 的解释并没有得到 Linux 内核社区的认同,他们认为 Lu 等人提交的补丁没有任何真正的价值,而 Linux 内核维护人员还要去审核这些代码,浪费了时间。
默认拒绝所有来自明大的提交,除非能证明是有效补丁
Greg 在文中称,
我将与其他一些内核开发人员一起工作,以确定这些还原是否实际上是有效的更改。如果是,稍后则重新提交。目前,内核代码库要保证安全第一。
其他内核维护人员要注意,未来所有出自 umn.edu 地址的提交都应该默认拒绝。除非能证明该提交是一个有效的修复。(比如:他们能提供证据,然后你可以验证,但为什么浪费时间做那项额外的工作?)
内核开发者不喜欢被做试验,还有很多正事要做
Linux 内核社区还拒绝了另外一位明大博士生 Aditya Pakki 的关于静态分析器的代码提交。
该学生要求 Greg 停止对明大的“近乎诽谤的疯狂指控”,Greg 则在回复表示[2]:
您和您的团队已经公开承认发送了已知的错误补丁,以查看内核社区对它们的反应,并发表了一篇基于该工作的论文。
现在你又提交了一系列明显错误的补丁,我该怎么看待这种事情呢?
我们的社区欢迎那些希望帮助和增强 Linux 的开发者 …… 我们社区不喜欢被试验,也不喜欢通过提交已知的补丁被“测试”,这些补丁要么是故意什么都不干,要么是故意引入 bug。如果你想做这样的工作,我建议你找一个不同的社区来做你的实验,你在这里是不受欢迎的。
此外,Greg 在推特上表示[3],
Linux 内核开发者不愿意被做实验,我们还有很多正事要做。
明大回应:严肃对待,中止研究
明大计系在推特上回应称:
明尼苏达大学计算机科学与工程系的领导今天了解到一名教员和研究生正在进行的关于 Linux 内核安全性的研究细节。该研究方法引起了 Linux 内核社区的严重关注,到今天为止,这已经导致本校被禁止为 Linux 内核做贡献。
我们非常严肃地对待这一情况。我们已经立即中止了这项研究,将调查该研究方法和批准该研究方法的过程,确定适当的补救措施,并在需要时预防未来的问题。我们将尽快向社会报告我们的调查结果。
扫一扫
141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
