華人教授向 Linux 內(nèi)核提交含 Bug 代碼，Linux 管理員直接拉黑整所大學(xué)！

Linux 內(nèi)核是目前最大的軟件項(xiàng)目之一，擁有 2800 萬(wàn)行代碼。世界各地的貢獻(xiàn)者每天向 Linux 內(nèi)核管理員提交大量 patch，經(jīng)過(guò) review 之后被合并入官方 Linux 內(nèi)核樹(shù)。這些 patch 可以幫助修復(fù) Linux 內(nèi)核中的 BUG 或問(wèn)題，或者引入新的特性。

今年 2 月，來(lái)自美國(guó)明尼蘇達(dá)大學(xué)的研究者 Qiushi Wu 和 Kangjie Lu 發(fā)布了一篇研究論文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》，旨在分析開(kāi)源項(xiàng)目的安全性。為了做研究，他們向一些開(kāi)源項(xiàng)目提交了一些有 BUG 的代碼，其中 Linux 內(nèi)核正是他們的主要實(shí)驗(yàn)「場(chǎng)地」。

根據(jù)最新消息，Linux 內(nèi)核管理員 Greg Kroah-Hartman 宣布撤銷該團(tuán)隊(duì)的代碼提交，并禁止明尼蘇達(dá)大學(xué)未來(lái)所有的貢獻(xiàn)。

我們來(lái)看這件事情的來(lái)龍去脈。

這項(xiàng)研究在去年進(jìn)行，當(dāng)時(shí)提交的代碼似乎并未引起安全漏洞，有一些甚至被成功合并入 Linux 內(nèi)核樹(shù)。

2 月份相關(guān)研究論文發(fā)布后，明尼蘇達(dá)大學(xué)研究者想繼續(xù)提交由「新型靜態(tài)分析器」創(chuàng)建的 patch。

4 月 21 日，Linux 內(nèi)核管理員 Greg Kroah-Hartman 在與明尼蘇達(dá)人員溝通的郵件中表示：

您和您的團(tuán)隊(duì)此前提交了有 bug 的代碼，以觀察 Linux 內(nèi)核社區(qū)的反應(yīng)，并據(jù)此發(fā)表了一篇論文?，F(xiàn)在，您想提交新的一批有問(wèn)題代碼，這些代碼顯然并非靜態(tài)分析工具創(chuàng)建而成。

這一實(shí)驗(yàn)并未向開(kāi)源軟件（OSS）引入任何 bug 或?qū)е?bug 的提交。該研究旨在以一種安全的方式調(diào)查 patching 流程的缺陷。該實(shí)驗(yàn)并未影響任何用戶，且得到 IRB 豁免（IRB Exempt）。此外，該實(shí)驗(yàn)還修復(fù)了 3 個(gè)真實(shí)的 bug。

叫停這項(xiàng)研究。我們將對(duì)該研究方法，及批準(zhǔn)該研究方法的流程展開(kāi)調(diào)查，確定恰當(dāng)?shù)难a(bǔ)救措施。如有必要，我們將盡快向社區(qū)報(bào)告調(diào)查結(jié)果。

• 電子郵件：https://lore.kernel.org/linux-nfs/YH%2FfM%[email protected]/
• https://lore.kernel.org/lkml/[email protected]/
• 論文：https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
• 澄清聲明：https://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf
• 明尼蘇達(dá)大學(xué)計(jì)算機(jī)科學(xué)與工程系聲明：https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021