明尼苏达被Linux 拉黑?华人教授发公开信称补丁没有危害,GKH:不讲武德

新闻 系统
Linux内核拉黑明尼苏达新进展,当事人的导师回复,声称自己并未破坏linux内核,其他明尼苏达研究人员的提交是无辜的。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 开源软件由于其公开性,能够被大量开发人员验证,所以一向被认为是安全的。

[[395939]]

但即便是如「空气」一般无所不在的linux,也不见得是完全安全的!

来自明尼苏达大学的研究者就成功向开源社区(主要是Linux)提交了多个看似是修正补丁的漏洞。

这种研究方法引来Linux维护人员的愤怒,Linux 内核社区撤销了之前他们提交的所有 Linux 内核代码。除了禁止明尼苏达大学对上游内核的贡献之外,Greg Kroah-Hartman还计划回滚所有umn.edu的补丁,涉及到190个历史补丁代码。

[[395940]]

这项研究的主要人员Kangjie Lu, Qiushi Wu和Aditya Pakki于4月24日晚在Linux社区发表公开信,信中表示他们已经认识到了这项研究的危害性,继续重申其他明尼苏达大学研究人员的补丁是真诚无害的,和本次项目无关。

公开信除了道歉还有什么

信中首先表示「hypocrite commits」论文中的研究方法是不合适的,浪费了开源社区的资源,并且没有事先征得Linux维护人员的同意。

hypocrite commits 这项工作从 2020 年 8 月开始研究,主要目的是提升Linux补丁的安全性,这项研究主要的贡献在于找到现在风险的原因并解决他们。

作者认为这项工作并没有大众认为的危害性:

1、没有引入有危害的代码。三个错误的补丁也只是在社区中进行讨论,并且在论文发表前已经向Linux社区报告过这些问题。

2、190个无辜的补丁并没有参与到我的工作中,他们确实是为了解决linux存在的bug而提交的。

3、最新的补丁是2021年4月提交的,并没有在hypocrite commits项目中,而是一个新的项目,用来自动找到其他人提交补丁中的bug用的。

作者也表示在学术研究方面被「上了一课」。

最后作者希望能够与Linux社区重建良好的关系,并且研究的出发点确实是想要为开源社区的安全性做贡献,只是没想到事情发展成这样。

对于这封公开信,GKH也表示在明尼苏达大学采取行动之前,无需更多的讨论。

为何会引发众怒

开源项目的维护建立在信任的基础上,开发者与维护者秉持着对程序的热爱来开发维护。

对于Linux内核来说,维护者相信开发者的动机是改善Linux kernel的质量,而开发者也需要说明自己确实是改善了内核。

如果没有了这种信任,那么每一次对kernel的提交都要进行完善的安全审查,对于类似Linux kernel这样庞大的,维护人员又不多的项目来说几乎是不现实的。

[[395941]]

而明尼苏达的研究项目在未经他们同意的情况下,耗费了维护人员大量的时间,只是为了证明「这种信任很脆弱」。

Linux kernel维护人员GKH警告研究人员停止提交已知无效的补丁,并认为他们是在以一种玩弄评审人员的方式来完成论文。这是错误的,浪费了维护人员的时间,我们要和明尼苏达大学报告此事。

但研究人员Aditya Pakki回应称「我要求你停止进行近乎诽谤的疯狂指责。我发送补丁的目的是希望得到反馈。我们不是Linux内核方面的专家,反复发表这些言论让人听了很反感。显然,这个步骤是错误的,但你的先入为主的偏见是如此强烈,以至于你提出的指控毫无根据,也不给我们辩解(无罪推定)的任何机会。这种态度不仅不受欢迎,而且对新手和非专家也是一种恐吓,因此我将不会再发送任何补丁。」

因此,这也不难理解为什么GKH如此愤怒,以至于要把明尼苏达的所有研究人员的提交都删除。

 

责任编辑:张燕妮 来源: 新智元
相关推荐

2021-04-28 10:21:24

Linux软件安全漏洞

2021-05-25 14:27:25

Linux补丁修复

2021-01-27 09:19:44

MySQL数据优化器

2020-12-07 08:04:39

CTO中年公司

2021-05-26 05:40:32

加密勒索软件攻击

2021-06-01 10:09:37

Linux加密开发者

2020-12-25 11:37:32

DDoS攻击信用卡黑客

2013-11-28 09:42:42

IaaS云迁移案例基础架构即服务

2015-07-22 10:00:24

Linus TorvaGoogle Mail

2020-12-03 18:18:46

微信表情下回

2022-01-13 06:49:23

开源项目删库

2021-07-06 21:37:05

索引SQL数据

2021-09-14 11:57:01

双重勒索勒索软件黑客攻击

2020-11-24 08:02:26

API接口重构

2021-02-28 07:52:24

蠕虫数据金丝雀

2021-01-29 14:35:41

代码开发服务器

2015-03-30 12:34:12

手机

2009-01-06 08:57:20

乔布斯苹果用户公开信

2023-04-06 00:32:50

人工智能ChatGPT

2021-05-31 09:03:12

算法数据技术
点赞
收藏

51CTO技术栈公众号