“拉黑”事件最新進(jìn)展：Linux 內(nèi)核維護(hù)者對(duì)道歉公開信簡(jiǎn)短回應(yīng)

技術(shù)編輯：典典丨發(fā)自 思否編輯部

公眾號(hào)：SegmentFault

---

今年 2 月，來自美國明尼蘇達(dá)大學(xué)的研究者 Qiushi Wu 和 Kangjie Lu 發(fā)布了一篇研究論文《On the Feasibility of Stealthily Introducing Vulnerabilities inOpen-Source Software via Hypocrite Commits》，旨在分析開源項(xiàng)目的安全性。為了做研究，他們向一些開源項(xiàng)目提交了一些有 BUG 的代碼，其中 Linux 內(nèi)核正是他們的主要實(shí)驗(yàn)「場(chǎng)地」。

SegmentFault 思否

道歉公開信內(nèi)容

明尼蘇達(dá)大學(xué)此次事件的相關(guān)研究人員——助理教授 Kangjie Lu 和博士生 Qiushi Wu、Aditya Pakki 發(fā)表了一封致 Linux 內(nèi)核社區(qū)的公開道歉信。

公開信開篇表述稱，該研究小組為其對(duì) Linux 內(nèi)核社區(qū)造成的任何傷害表示真誠的歉意。

“我們非常抱歉。Hypocrite Commits 論文中使用的方法是不恰當(dāng)?shù)?。?/span>

并表示，他們錯(cuò)在沒有在進(jìn)行研究之前先與 Linux 社區(qū)進(jìn)行協(xié)商并獲得許可。但信中也解釋稱，因?yàn)樗麄冎雷约翰荒芴崆跋?Linux 的維護(hù)者征求許可，否則就會(huì)引起維護(hù)者對(duì)這些補(bǔ)丁的注意，從而影響研究結(jié)果。

雖然我們的目標(biāo)是提高 Linux 的安全性，但我們現(xiàn)在明白，讓社區(qū)成為我們研究的對(duì)象，并在其不知情或未經(jīng)允許的情況下浪費(fèi)大家的精力審查這些補(bǔ)丁，是對(duì)社區(qū)的傷害。

我們只想讓大家知道，我們絕不會(huì)故意傷害 Linux 內(nèi)核社區(qū)，也絕不會(huì)引入安全漏洞。我們的工作是抱著最好的目的進(jìn)行的，都是為了尋找和修復(fù)安全漏洞。

信中還強(qiáng)調(diào)稱，其他來自UMN.edu 的補(bǔ)丁都是善意的、真誠的。

“所有其他 190 個(gè)被恢復(fù)和重新評(píng)估的補(bǔ)丁都是作為其他項(xiàng)目的一部分和對(duì)社區(qū)的服務(wù)而提交的；它們與Hypocrite Commits 事件無關(guān)。這 190 個(gè)補(bǔ)丁是對(duì)代碼中所存在的真正的錯(cuò)誤的回應(yīng)，并且就我們所能辨別的程度而言，它們?cè)谔峤坏臅r(shí)候都是沒有問題的?！?/span>

公開信最后指出，研究組成員對(duì) Linux內(nèi)核社區(qū)所需承擔(dān)的額外工作感到由衷的抱歉，他們?cè)谕纯嘀嘁矎倪@次事件中汲取了一些關(guān)于與開源社區(qū)研究的重要教訓(xùn)?！拔覀兛梢远視?huì)做得更好，我們相信我們?cè)谖磥磉€有很多貢獻(xiàn)，并將努力工作以重新獲得你們的信任”。

SegmentFault 思否

Linux 的態(tài)度

在收到公開信后，Linux 的內(nèi)核維護(hù)者 Greg Kroah-Hartman 只給出了簡(jiǎn)短的回復(fù)：

“眾所周知，Linux 基金會(huì)和技術(shù)顧問委員會(huì)于 4 月 23 日星期五向您的大學(xué)遞交了一封信，概述了您的大學(xué)以及小組為了能夠重新獲得 Linux 內(nèi)核社區(qū)的信任而需要采取的行動(dòng)。

在你們做出行動(dòng)之前，我們不會(huì)有進(jìn)一步的討論?！?/span>

Sudip Mukherjee 表明發(fā)送的這些補(bǔ)丁將需要一些時(shí)間才能刪除，他于 4 月 21 日寫信給 Kroah-Hartman，指出其中許多 bug 已經(jīng)傳送到了 Linux 的內(nèi)核。

除此之外，他還在信中提到 “我可以在今天結(jié)束之前向您發(fā)送恢復(fù)補(bǔ)丁，以保持內(nèi)核穩(wěn)定（如果您的腳本還沒有完成的話）?！?/span>

Kroah-Hartman回復(fù)道：

“是的，如果您有這些已經(jīng)存在于內(nèi)核中的列表，并可以讓我們擁有恢復(fù)補(bǔ)丁的程序就很棒，這將使我們擺脫那些不得不做的額外工作?！?/span>

完整公開信地址：

https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Flore.kernel.org%2Flkml%2FCAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ%40mail.gmail.com%2FT%2F%23u

參考鏈接：

https://www.itwire.com/open-source/uni-bid-to-patch-up-with-linux-kernel-project-fails-to-move-maintainer.html

---

- END -

相關(guān)閱讀

華人教授向 Linux 內(nèi)核提交含 bug 代碼，Linux 管理員直接拉黑整所大學(xué)！

Linus 回應(yīng)“拉黑”事件：觸犯禁忌，違背信任！