导读 | 明尼苏达大学研究者发表了致 Linux 内核社区的公开道歉信,但遗憾的是,Linux 内核维护者不接受他们的道歉。上周,Linux 内核维护者 Greg Kroah-Hartman,突然把整个明尼苏达大学「拉黑」了。 |
事件起因最早可以追溯到 2020 年,明尼苏达大学计算机科学与工程系的两位研究者(Qiushi Wu 和 K.J Lu)在撰写论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》时,尝试将 bad patch 放入 Linux 内核中作为测试,用于研究开源社区的漏洞。此举受到了 Linux 社区的警告。
随后,该研究团队发文澄清了这件事,声明论文目的在于提升开源软件修补过程的安全性,并且论文也被 2021 IEEE 安全与隐私研讨会接收。
但今年 4 月,Lu 教授的另一位博士生 Aditya Pakki 向 Linux 内核提交了一个小补丁,之后几天有 Linux 社区成员发现了代码中存在的问题,并认为该补丁的提交者是「故意的」。接着,社区其他成员又发现了他提交的另外 3 个类似的补丁,并表示「这些补丁均带有严重的漏洞」。
在与 Aditya Pakki 的 battle 中,Linux 内核维护者 Greg Kroah-Hartman 被惹怒了,表示「将禁止明尼苏达大学向 Linux 内核提交贡献。」明尼苏达大学计算机科学与工程系官方表示「我们非常严肃地处理整件事情,并立即暂停了这项研究。我们还将追查研究所采用的方法以及审核流程,确定适当的补救措施,并为将来出现的其他问题做好准备。」
事件持续发酵之后,Lu 教授所在的研究团队于近日向 Linux 内核团队公开道歉,但遗憾的是并没有获得原谅。
UMN 研究团队公开道歉,Linux 内核团队未接受
当地时间上周六,Lu 教授团队(Kangjie Lu、 Qiushi Wu、Aditya Pakki)联合署名发表了一封致 Linux 内核社区的公开道歉信,向 Linux 社区道歉,并进一步阐明了自己的研究并非故意伤害 Linux 社区。
其中 Kangjie Lu 是负责该项目的助理教授,而 Qiushi Wu 和 Aditya Pakki 都是 Lu 助理教授带的博士生,其中 Qiushi Wu 是那篇论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》的一作,而 Aditya Pakki 不是该论文的作者,但是是引发这场争议的补丁提交者。
公开信开篇表述称,该研究小组为其对 Linux 内核社区造成的任何伤害表示真诚的歉意。「我们非常抱歉。Hypocrite Commits 论文中使用的方法是不恰当的。」
「我们只想让你们知道,我们绝不会故意伤害 Linux 内核社区,也绝不会引入安全漏洞。我们的工作是出于良好的目的进行的,其目的是发现和修复安全漏洞。」并表示,他们错在没有在进行研究之前先与 Linux 社区进行协商并获得许可。但信中也解释称,因为他们知道自己不能提前向 Linux 的维护者征求许可,否则就会引起维护者对这些补丁的注意,从而影响研究结果。
公开信中称「hypocrite commits」工作于 2020 年 8 月开展,它的目的是提高 Linux 中补丁过程的安全性。作为项目的一部分,我们研究了 Linux 修补过程中可能出现的问题,包括问题的原因以及解决这些问题的建议。
公开信最后指出,研究组成员对 Linux 内核社区所需承担的额外工作感到由衷的抱歉,他们在痛苦之余也从这次事件中汲取了一些关于与开源社区研究的重要教训。「我们可以而且会做得更好,我们相信在未来还有很多贡献,并将努力工作以重新获得你们的信任。」
对此,Linux 的内核维护者 Greg Kroah-Hartman 则回应称:
如你们所知,Linux 基金会和 Linux 基金会的技术顾问委员会已于 4 月 23 日向贵校递交了一封信,概述了为了使贵组和贵校能够重新获得 Linux 内核社区的信任而需要采取的具体行动。
在你们采取这些行动之前,我们没有任何关于这个问题的进一步讨论。
针对此事,Linux 之父 Linus Torvalds 也表示,虽然这样的提交并不是什么大问题,但却显然是一种违反信任的行为。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/136457.html