Linus 回應(yīng)“拉黑”事件：觸犯禁忌，違背信任！

今年 2 月，來自美國明尼蘇達(dá)大學(xué)的研究者 Qiushi Wu 和 Kangjie Lu 發(fā)布了一篇研究論文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》，旨在分析開源項(xiàng)目的安全性。為了做研究，他們向一些開源項(xiàng)目提交了一些有 BUG 的代碼，其中 Linux 內(nèi)核正是他們的主要實(shí)驗(yàn)「場地」。

這項(xiàng)研究在去年進(jìn)行，當(dāng)時(shí)提交的代碼似乎并未引起安全漏洞，有一些甚至被成功合并入 Linux 內(nèi)核樹。

2 月份相關(guān)研究論文發(fā)布后，明尼蘇達(dá)大學(xué)研究者想繼續(xù)提交由「新型靜態(tài)分析器」創(chuàng)建的 patch。

4 月 21 日，Linux 內(nèi)核管理員 Greg Kroah-Hartman 在與明尼蘇達(dá)人員溝通的郵件中表示：

您和您的團(tuán)隊(duì)此前提交了有 bug 的代碼，以觀察 Linux 內(nèi)核社區(qū)的反應(yīng)，并據(jù)此發(fā)表了一篇論文?，F(xiàn)在，您想提交新的一批有問題代碼，這些代碼顯然并非靜態(tài)分析工具創(chuàng)建而成。

Linus 的火爆脾氣相信大家都了解，此事件本身就熱度不低，再加上 Linus 的自帶標(biāo)簽，外媒 IT Wire 就“明尼蘇達(dá)大學(xué)偷偷往 Linux 引入漏洞”一事采訪了 Linus 的看法。

但這次 Linus 并沒有就此事展開激烈的回應(yīng)，他只是很平靜的回應(yīng)道：

“從技術(shù)上講我并不覺得這是什么大事，但這讓人們很生氣，因?yàn)檫@顯然違背了開發(fā)者之間的信任?！?/strong>

Linus 說的沒錯(cuò)，因?yàn)樵陂_源社區(qū)中，有一個(gè)大家共通的禁忌：

開源作者將項(xiàng)目開源已經(jīng)是個(gè)很艱巨的工作了，而且日常的維護(hù)工作也并不輕松，但卻有人為了做實(shí)驗(yàn)故意多次提交帶有漏洞的惡意補(bǔ)丁，而此舉動(dòng)的目的竟然只是為了看開源維護(hù)者如何應(yīng)對。

Linux 龐大的內(nèi)核社區(qū)的規(guī)模，更是讓程序員之間的信任成為了開發(fā)過程中至關(guān)重要的一部分。

因此 Linus 對此表示不滿：

“這很讓人討厭，因?yàn)榇蟛糠值难a(bǔ)丁是有用的（通常補(bǔ)丁不是”無用的”或者“故意提交惡意代碼”），所以從根本上來說，這種行為就是在浪費(fèi)大家的時(shí)間?！?/span>

“我們對于您的擔(dān)憂深表歉意，我明白社區(qū)為什么會(huì)對此不滿，但關(guān)于 hypocrite commits 的項(xiàng)目早在 2020 年 11 月就完全結(jié)束了，而 Aditya 正在著手于一個(gè)在補(bǔ)丁中找漏洞的新項(xiàng)目，他并不是故意犯錯(cuò)的?！?/span>

除此之外，在 Kangjie Lu的個(gè)人主頁上，我們可以看見《論通過假意提交代碼在開源軟件中偷偷引入漏洞的可行性》這篇論文下有 2 行加粗的標(biāo)注：

“這個(gè)實(shí)驗(yàn)沒有在 OSS 中引入任何漏洞或引入漏洞提交。它以一種安全的方式展示了修復(fù)漏洞中的缺陷。沒有用戶受到影響，并且這項(xiàng)實(shí)驗(yàn)獲得了 IRB 的批準(zhǔn)，而它實(shí)際上還修復(fù)了 3 個(gè)真正的漏洞?！?/span>

Kangjie Lu 還補(bǔ)充道：這項(xiàng)實(shí)驗(yàn)所涉及到的漏洞補(bǔ)丁并沒有真正進(jìn)入代碼，它只停留在了 email 里。而正巧 Aditya 在進(jìn)行另一個(gè)新項(xiàng)目時(shí)，向 Linux 提交的補(bǔ)丁不小心出現(xiàn)了錯(cuò)誤。

有過提交補(bǔ)丁經(jīng)驗(yàn)的人都知道，出錯(cuò)是在所難免的，可Linux 內(nèi)核維護(hù)者卻將這兩個(gè)項(xiàng)目相聯(lián)系，所以才導(dǎo)致了現(xiàn)在的局面。

并且，Kangjie Lu 曾經(jīng)在被問到“該項(xiàng)目是否會(huì)浪費(fèi)管理員精力”時(shí)，他的回答是：“會(huì)?！?/strong>

所以他們明知這項(xiàng)實(shí)驗(yàn)會(huì)浪費(fèi) Linux 內(nèi)核維護(hù)者本就不充裕的時(shí)間，卻還是進(jìn)行了這個(gè)實(shí)驗(yàn)。可這項(xiàng)實(shí)驗(yàn)又何嘗不是利用 Linux 開源工作者的熱情與義務(wù)，變相向他們增負(fù)呢？

參考鏈接：

https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html

https://twitter.com/kengiter/with_replies