Linux补丁跟进:明尼苏达大学与Linux社区打破僵局在安全界引起轩然大波。由于该事件涉及华人学者和安全研究伦理,引来众多非专业但极具误导性和煽动性的媒体科普。内核提交bug,社区屏蔽了整个明尼苏达大学。”1、“夫妻档”守护着万亿美元的开源经济和安全。安全大牛认为,明尼苏达大学起到的作用在“用补丁漏洞帮助Linux查找进程漏洞”事件中,无非是皇帝新衣中的“懵懂”孩子。作为提交了近200个有效Linux内核补丁的顶级Linux内核代码安全专家,何教授陆康杰一时兴起就决定跳出代码范畴,测试进程漏洞?事实上,作为万亿美元开源经济的基石,Linux,它的“安全债”远比漏洞严重和可怕。明尼苏达大学曝光的补丁审核流程据SafetyNiu此前报道,直到今年2月,谷歌才获得资助,庞大的Linux社区才有了两名全职网络安全人员l(一对)第一次。也就是说,Linux社区之前根本没有专职的安全人员,所有的安全工作都是由开发者兼职完成的。Linux社区指责明尼苏达大学的安全研究团队浪费了Linux安全人员的时间,那么我们就来看看为什么Linux“夫妻档”和“兼职”的时间如此宝贵。根据今年第一季度Linux开源安全基金会(OpenSSF)和哈佛大学创新科学实验室(LISH)联合发布的一份报告,大约有20,000名Linux开发人员和维护人员,其中许多人对Linux有一定的口头兴趣安全,但实际上投资(时间)是最小的。宣布将明尼苏达大学列入黑名单的Linux内核维护者GregKroah-Hartman之所以勃然大怒,是因为“资深的Linux内核开发人员每天要审查数百份提交的代码,他们非常忙碌”。显然,对于高级攻击者来说,这种抱怨本身就是一个大错误。调查显示,尽管三分之二的Linux开发和维护人员意识到补丁是Linux安全的头号威胁,但只有2.3%的受访开发人员愿意花时间从事与安全相关的活动。更多的开发者表示他们愿意在持续集成过程中加入安全相关的工具(25%),并提供免费的安全开发课程(18%)。总而言之,毫不夸张地说,在软件供应链和开源安全威胁快速增长的今天,Linux开源社区安全资源的严重缺乏、安全实践和安全政策的不完善已经成为“数字时代全人类的“核矿”。无论Linux补丁事件的结果如何,都将对开源软件安全研究和Linux开源社区的安全建设产生深远影响。2.明尼苏达大学与Linux社区之间的对话已经恢复。据最新消息,明尼苏达大学与Linux社区的对话协商已经重启,僵局有望得到解决。上周末,Linux基金会高级副总裁兼项目总经理MikeDolan写信给明尼苏达大学,要求重新获得信任。为错误道歉并采取具体步骤:如你所知,Linux基金会和Linux基金会的技术咨询委员会上周五致函你的大学,概述了一项计划,使你的团队和你的大学能够重新获得需要采取的具体步骤信任基金会。这些具体措施包括:尽快向公众提供与识别明尼苏达大学实验提交的易受攻击代码相关的识别信息。此信息应包括每个目标软件的名称、提交信息、提交者姓名、电子邮件地址、日期时间、主题和代码,以便所有软件开发人员可以快速识别此类代码并可能采取补救措施。UMN教授兼计算机科学与工程系主任MatsHeimdahl回信接受了结果。他表示,学校感谢Linux基金会的要求,他们期待达成“双方都满意的解决方案”并重新建立联系。邮件原文如下:目前,我们正在考虑您的请求,将尽快采取行动,对您的请求给予实质性答复。特别是,安全研究组正在准备致Linux社区的一封信,我们目前正试图获得同意,以发布有关该组代码提交的所有信息。一旦我们有机会解决剩余问题,我们将很高兴有机会与您会面讨论并向前推进。Dolan还代表Linux开发者社区要求撤回卢康杰研究团队的IEEE论文:“关于通过HypocriteCommits项目在开源软件中引入漏洞的可行性的论文被要求撤回,因为研究人员吴秋实和AdityaPakki和他们的研究生导师卢康杰教授在未经许可的情况下对Linux内核维护者进行了实验。因此,这篇论文应该被撤回。”对此,卢康杰教授在公开声明中表示,他已经撤回了原计划在第42届IEEE安全与隐私研讨会上发表的论文“OntheFeasibilityofCovertlyIntroducingVulnerabilitiesinOpenSourceSoftwareviaForgedPatches”。陆康杰表示,撤稿的原因有两个:一是我们犯了一个错误,在进行研究之前没有与Linux内核社区合作。我们现在知道,将其作为我们研究的主题并在他们不知情或未经许可的情况下浪费精力审查这些补丁是不合适的,也是对社区的损害。我们现在意识到,开展此类工作的适当方式是事先与社区领导接触,以便他们了解工作、批准(研究项目的)目标和方法,并在工作完成时支持方法和结果。完成并重新发布。因此,我们撤回了这篇论文,以免我们从不适当的研究中获益。其次,考虑到我们方法的缺陷,我们不希望这篇论文成为Linux社区如何进行类似研究的典范。相反,我们希望这次活动将成为我的社区的一个学习时刻,并且由此产生的讨论和建议将作为未来适当研究的指南。因此,我们撤回这篇论文,以防止我们被误导的研究方法被视为未来研究的模型。对于我们的研究小组对Linux内核社区、IEEE安全与隐私研讨会、我们的部门和大学以及整个社区的声誉造成的任何损害,我们深表歉意。从海姆达尔和卢康杰的公开信来看,明尼苏达大学似乎已经同意了Linux基金会的主要要求,但还有很多细节需要敲定。但至少目前看来,明尼苏达大学、Linux基金会和Linux内核开发者社区似乎已经“重启和谈”,这意味着明尼苏达大学可以(在符合协议或specification)以后再进行类似的研究,同时Linux内核维护人员也不用担心假补丁会浪费宝贵的工作时间。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
