明尼蘇達被Linux 拉黑?華人教授發(fā)公開信稱補丁沒有危害,GKH:不講武德
開源軟件由于其公開性,能夠被大量開發(fā)人員驗證,所以一向被認(rèn)為是安全的。
但即便是如「空氣」一般無所不在的linux,也不見得是完全安全的!
來自明尼蘇達大學(xué)的研究者就成功向開源社區(qū)(主要是Linux)提交了多個看似是修正補丁的漏洞。
這種研究方法引來Linux維護人員的憤怒,Linux 內(nèi)核社區(qū)撤銷了之前他們提交的所有 Linux 內(nèi)核代碼。除了禁止明尼蘇達大學(xué)對上游內(nèi)核的貢獻之外,Greg Kroah-Hartman還計劃回滾所有umn.edu的補丁,涉及到190個歷史補丁代碼。
這項研究的主要人員Kangjie Lu, Qiushi Wu和Aditya Pakki于4月24日晚在Linux社區(qū)發(fā)表公開信,信中表示他們已經(jīng)認(rèn)識到了這項研究的危害性,繼續(xù)重申其他明尼蘇達大學(xué)研究人員的補丁是真誠無害的,和本次項目無關(guān)。
公開信除了道歉還有什么
信中首先表示「hypocrite commits」論文中的研究方法是不合適的,浪費了開源社區(qū)的資源,并且沒有事先征得Linux維護人員的同意。
hypocrite commits 這項工作從 2020 年 8 月開始研究,主要目的是提升Linux補丁的安全性,這項研究主要的貢獻在于找到現(xiàn)在風(fēng)險的原因并解決他們。
作者認(rèn)為這項工作并沒有大眾認(rèn)為的危害性:
1、沒有引入有危害的代碼。三個錯誤的補丁也只是在社區(qū)中進行討論,并且在論文發(fā)表前已經(jīng)向Linux社區(qū)報告過這些問題。
2、190個無辜的補丁并沒有參與到我的工作中,他們確實是為了解決linux存在的bug而提交的。
3、最新的補丁是2021年4月提交的,并沒有在hypocrite commits項目中,而是一個新的項目,用來自動找到其他人提交補丁中的bug用的。
作者也表示在學(xué)術(shù)研究方面被「上了一課」。
最后作者希望能夠與Linux社區(qū)重建良好的關(guān)系,并且研究的出發(fā)點確實是想要為開源社區(qū)的安全性做貢獻,只是沒想到事情發(fā)展成這樣。
對于這封公開信,GKH也表示在明尼蘇達大學(xué)采取行動之前,無需更多的討論。
為何會引發(fā)眾怒
開源項目的維護建立在信任的基礎(chǔ)上,開發(fā)者與維護者秉持著對程序的熱愛來開發(fā)維護。
對于Linux內(nèi)核來說,維護者相信開發(fā)者的動機是改善Linux kernel的質(zhì)量,而開發(fā)者也需要說明自己確實是改善了內(nèi)核。
如果沒有了這種信任,那么每一次對kernel的提交都要進行完善的安全審查,對于類似Linux kernel這樣龐大的,維護人員又不多的項目來說幾乎是不現(xiàn)實的。
而明尼蘇達的研究項目在未經(jīng)他們同意的情況下,耗費了維護人員大量的時間,只是為了證明「這種信任很脆弱」。
Linux kernel維護人員GKH警告研究人員停止提交已知無效的補丁,并認(rèn)為他們是在以一種玩弄評審人員的方式來完成論文。這是錯誤的,浪費了維護人員的時間,我們要和明尼蘇達大學(xué)報告此事。
但研究人員Aditya Pakki回應(yīng)稱「我要求你停止進行近乎誹謗的瘋狂指責(zé)。我發(fā)送補丁的目的是希望得到反饋。我們不是Linux內(nèi)核方面的專家,反復(fù)發(fā)表這些言論讓人聽了很反感。顯然,這個步驟是錯誤的,但你的先入為主的偏見是如此強烈,以至于你提出的指控毫無根據(jù),也不給我們辯解(無罪推定)的任何機會。這種態(tài)度不僅不受歡迎,而且對新手和非專家也是一種恐嚇,因此我將不會再發(fā)送任何補丁。」
因此,這也不難理解為什么GKH如此憤怒,以至于要把明尼蘇達的所有研究人員的提交都刪除。
