---

  新智元報(bào)道  

來(lái)源：linux

編輯：LRS

【新智元導(dǎo)讀】Linux內(nèi)核拉黑明尼蘇達(dá)新進(jìn)展，當(dāng)事人的導(dǎo)師回復(fù)，聲稱自己并未破壞linux內(nèi)核，其他明尼蘇達(dá)研究人員的提交是無(wú)辜的。

開源軟件由于其公開性，能夠被大量開發(fā)人員驗(yàn)證，所以一向被認(rèn)為是安全的。

 

 

但即便是如「空氣」一般無(wú)所不在的linux，也不見得是完全安全的！

 

來(lái)自明尼蘇達(dá)大學(xué)的研究者就成功向開源社區(qū)（主要是Linux）提交了多個(gè)看似是修正補(bǔ)丁的漏洞。

 

這種研究方法引來(lái)Linux維護(hù)人員的憤怒，Linux 內(nèi)核社區(qū)撤銷了之前他們提交的所有 Linux 內(nèi)核代碼。除了禁止明尼蘇達(dá)大學(xué)對(duì)上游內(nèi)核的貢獻(xiàn)之外，Greg Kroah-Hartman還計(jì)劃回滾所有umn.edu的補(bǔ)丁，涉及到190個(gè)歷史補(bǔ)丁代碼。

 

 

這項(xiàng)研究的主要人員Kangjie Lu, Qiushi Wu和Aditya Pakki于4月24日晚在Linux社區(qū)發(fā)表公開信，信中表示他們已經(jīng)認(rèn)識(shí)到了這項(xiàng)研究的危害性，繼續(xù)重申其他明尼蘇達(dá)大學(xué)研究人員的補(bǔ)丁是真誠(chéng)無(wú)害的，和本次項(xiàng)目無(wú)關(guān)。

 

公開信除了道歉還有什么

信中首先表示「hypocrite commits」論文中的研究方法是不合適的，浪費(fèi)了開源社區(qū)的資源，并且沒(méi)有事先征得Linux維護(hù)人員的同意。

 

hypocrite commits 這項(xiàng)工作從 2020 年 8 月開始研究，主要目的是提升Linux補(bǔ)丁的安全性，這項(xiàng)研究主要的貢獻(xiàn)在于找到現(xiàn)在風(fēng)險(xiǎn)的原因并解決他們。

 

作者認(rèn)為這項(xiàng)工作并沒(méi)有大眾認(rèn)為的危害性：

1、沒(méi)有引入有危害的代碼。三個(gè)錯(cuò)誤的補(bǔ)丁也只是在社區(qū)中進(jìn)行討論，并且在論文發(fā)表前已經(jīng)向Linux社區(qū)報(bào)告過(guò)這些問(wèn)題。

2、190個(gè)無(wú)辜的補(bǔ)丁并沒(méi)有參與到我的工作中，他們確實(shí)是為了解決linux存在的bug而提交的。

3、最新的補(bǔ)丁是2021年4月提交的，并沒(méi)有在hypocrite commits項(xiàng)目中，而是一個(gè)新的項(xiàng)目，用來(lái)自動(dòng)找到其他人提交補(bǔ)丁中的bug用的。

 

作者也表示在學(xué)術(shù)研究方面被「上了一課」。

 

最后作者希望能夠與Linux社區(qū)重建良好的關(guān)系，并且研究的出發(fā)點(diǎn)確實(shí)是想要為開源社區(qū)的安全性做貢獻(xiàn)，只是沒(méi)想到事情發(fā)展成這樣。

 

 

對(duì)于這封公開信，GKH也表示在明尼蘇達(dá)大學(xué)采取行動(dòng)之前，無(wú)需更多的討論。

為何會(huì)引發(fā)眾怒

開源項(xiàng)目的維護(hù)建立在信任的基礎(chǔ)上，開發(fā)者與維護(hù)者秉持著對(duì)程序的熱愛(ài)來(lái)開發(fā)維護(hù)。

 

對(duì)于Linux內(nèi)核來(lái)說(shuō)，維護(hù)者相信開發(fā)者的動(dòng)機(jī)是改善Linux kernel的質(zhì)量，而開發(fā)者也需要說(shuō)明自己確實(shí)是改善了內(nèi)核。

 

如果沒(méi)有了這種信任，那么每一次對(duì)kernel的提交都要進(jìn)行完善的安全審查，對(duì)于類似Linux kernel這樣龐大的，維護(hù)人員又不多的項(xiàng)目來(lái)說(shuō)幾乎是不現(xiàn)實(shí)的。

 

 

而明尼蘇達(dá)的研究項(xiàng)目在未經(jīng)他們同意的情況下，耗費(fèi)了維護(hù)人員大量的時(shí)間，只是為了證明「這種信任很脆弱」。

 

Linux kernel維護(hù)人員GKH警告研究人員停止提交已知無(wú)效的補(bǔ)丁，并認(rèn)為他們是在以一種玩弄評(píng)審人員的方式來(lái)完成論文。這是錯(cuò)誤的，浪費(fèi)了維護(hù)人員的時(shí)間，我們要和明尼蘇達(dá)大學(xué)報(bào)告此事。

 

 

但研究人員Aditya Pakki回應(yīng)稱「我要求你停止進(jìn)行近乎誹謗的瘋狂指責(zé)。我發(fā)送補(bǔ)丁的目的是希望得到反饋。我們不是Linux內(nèi)核方面的專家，反復(fù)發(fā)表這些言論讓人聽了很反感。顯然，這個(gè)步驟是錯(cuò)誤的，但你的先入為主的偏見是如此強(qiáng)烈，以至于你提出的指控毫無(wú)根據(jù)，也不給我們辯解（無(wú)罪推定）的任何機(jī)會(huì)。這種態(tài)度不僅不受歡迎，而且對(duì)新手和非專家也是一種恐嚇，因此我將不會(huì)再發(fā)送任何補(bǔ)丁?！?nbsp;

 

 

因此，這也不難理解為什么GKH如此憤怒，以至于要把明尼蘇達(dá)的所有研究人員的提交都刪除。

 

參考資料：

https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u

往期：

被LINUX拉黑！這個(gè)華人教授涉嫌故意引入漏洞發(fā)論文，整個(gè)大學(xué)都「遭殃」

AI家，新天地。西山新綠，新智元在等你！

【新智元高薪誠(chéng)聘】主筆、高級(jí)編輯、商務(wù)總監(jiān)、運(yùn)營(yíng)經(jīng)理、實(shí)習(xí)生等崗位，歡迎投遞簡(jiǎn)歷至[email protected] (或微信: 13520015375)

辦公地址：北京海淀中關(guān)村軟件園3號(hào)樓1100