整理 | 郑丽媛
出品 | CSDN(ID:CSDNnews)
近日,明尼苏达大学被 Linux 拉黑的事情闹得沸沸扬扬,许多人对此热议不止。(详情可查看:为了写论文给 Linux “投毒”,导致整个大学都被 Linux 拉黑!)
有认为涉事教授及学生“对开源不尊重”,有认为他们“吃饱了撑的”,也有人认为“这证明 LinuxPR 请求的审查的确有漏洞”。
在多种声音下,还有一群吃瓜群众“看热闹不嫌事大”:
好的,满足你们,咱们的 Linus 大神昨天真的回应此事了!
违背了信任
或许是 Linus 的火爆脾气实在令人难忘,也或许是听到了吃瓜群众们深切的呼唤,昨日外媒 IT Wire 就明尼苏达大学偷偷往 Linux 引入漏洞一事询问了 Linus 的看法。
不过,那些隐隐期待 Linus 口出“金句”的吃瓜群众可能要感到失望了。
Linus 并没有强烈地“喷”这件事,而是很平静的回应道:“我不认为从技术上讲这是什么大事,但让人们很生气,因为这显然违背了开发者之间信任。”
的确,在任何开源社区中,这都是一个巨大的禁忌:开源作者把项目开源已经不易,日常的维护工作也不轻松,可有人为了做实验故意多次提交带有漏洞的恶意补丁,就为了看开源维护者将如何应对?尤其在规模庞大的 Linux 内核社区中,程序员之间的信任更是开发过程中至关重要的一部分。
因此 Linux 内核维护者 Greg Kroah-Hartman 认为明尼苏达大学故意反复向 Linux 内核注入漏洞的行为“不可接受,完全不道德”。正如他所说,““Linux 内核开发人员不喜欢被试验,我们还有许多实际工作要做。”
Linus 也表示对这种反复提交已知漏洞的做法感到不满:“这很烦人,因为大部分的补丁是有用的(通常不是“无用”或者“故意提交恶意代码”),所以从根本上来说,这就是在浪费人们的时间。”
涉事教授:Aditya 不是故意犯错的
由于这件事影响恶劣,因此涉事教授 Kangjie Lu 也进行了回应。
在面对质问时,Kangjie Lu 在推特上回应称:
“对于您的担忧,我们深表歉意。我知道社区为什么对此不满。但关于 hypocrite commits 的项目 2020 年 11 月就完全结束了,而Aditya 正在着手一个在补丁中找漏洞的新项目,他不是故意犯错的。”
除了在推特上进行了简短的回应,在 Kangjie Lu 的个人主页上,可以看见《论通过假意提交代码在开源软件中偷偷引入漏洞的可行性》这篇论文下有 2 行加粗的标注:
“这个实验没有在 OSS 中引入任何漏洞或引入漏洞提交。它以一种安全的方式展示了修复漏洞中的缺陷。没有用户受到影响,并且这项实验获得了 IRB 的批准,实际上还修复了 3 个真正的漏洞。”
Kangjie Lu 还主张,这项实验所涉及到的漏洞补丁并没有真正进入代码,只是停留在了 email 里,而正巧 Aditya 在进行另一个新项目时,向 Linux 提交的补丁不小心出现了错误,但有过提交补丁经验的人都知道,出错是在所难免的,可 Linux 内核维护者却将这两个项目相联系,所以才发生了现在的事情。
关于论文实验中的恶意补丁到底有没有进入真正 Linux 内核这件事先按下不表,Kangjie Lu 曾经在面对“该项目是否会浪费管理员精力”的提问时,他的回答是:“会。”
即 Kangjie Lu 他们明知这项实验会浪费 Linux 内核维护者本就忙碌的时间,还是进行了这个实验。可这项实验又何尝不是利用 Linux 开源工作者的热情与义务,变相地压榨他们的工作呢?并且看 Linux 那边的态度,事先对这项实验也并不知情。
最后,对明尼苏达大学来说,想把自己“拉出 Linux 黑名单”最有效的解决方法,或许就是让 Kangjie Lu 他们给出论文实验中引入漏洞的补丁是用哪些邮箱提交的(据悉,Kangjie Lu 在实验中提交补丁时用的并非是 @umn.edu 邮箱,而是随机的 gmail 邮箱),以便证实带有漏洞的补丁的确未进入 Linux 内核,或者方便 Linux 社区快速定位漏洞,而不用将所有明尼苏达大学之前提交的代码一一排查。
不过,归根结底,这项实验还是有点“钓鱼执法”那味儿了,而且比起说它是一项研究代码的实验,可能“人类研究(human research)”更适合它的定位,因为这项实验的最初,就是在围绕“如果向开源软件以提交代码的方式注入漏洞,开源社区将如何处理”这个主题进行的,而开源社区——是由人组成的。
对此,你有什么看法吗?
https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html
https://twitter.com/kengiter/with_replies
4月23日晚8点,欢迎来到CSDN直播间,与资深行业专家雷明老师一起探讨机器学习所必须掌握的数学知识。
☞Android 12 新版本泄露,隐私安全可媲美 iOS 系统?☞小米科技因著作权纠纷案被法院强制执行;维权女车主丈夫:特斯拉侵犯隐私,撤销数据并道歉;明尼苏达大学回应被封杀|极客头条☞为了写论文给 Linux “投毒”,导致整个大学都被 Linux 拉黑!