开源软件一直被认为是安全的,因为它的开放性,可以得到大量开发者的验证。但即便是像“空气”一样无处不在的Linux,也未必是绝对安全的!明尼苏达大学的研究人员已成功向开源社区(主要是Linux)提交了多个看似修复的漏洞。这种研究方法引起了Linux维护者的愤怒,Linux内核社区拉走了他们之前提交的所有Linux内核代码。除了禁止明尼苏达大学对上游内核的贡献外,GregKroah-Hartman还计划回滚所有umn.edu补丁,涉及190个历史补丁代码。这项研究的主要研究者卢康杰、吴秋实和AdityaPakki于4月24日晚在Linux社区发表了一封公开信,表示他们已经认识到这项研究的危险性,并继续重申补丁其他明尼苏达大学研究人员真诚无害,与本项目无关。公开信除了道歉还有什么内容?信中首先表示,“伪君子提交”论文中的研究方法不当,浪费了开源社区的资源,并且没有征求Linux维护者的事先同意。hypocritecommits这项工作从2020年8月开始研究,主要目的是提高Linux补丁的安全性。这项研究的主要贡献是找到当前风险的原因并加以解决。作者认为这项工作并没有大众想象的那么有害:1.没有引入有害代码。这三个有问题的补丁只在社区讨论过,并在论文发表前将问题报告给了Linux社区。2.190个无辜的补丁没有参与我的工作,它们确实是为了解决linux中的bug而提交的。3.最新的patch是2021年4月提交的,不是在hypocritecommits项目中,而是一个新的项目,可以在别人提交的patch中自动找bug。作者还表示,自己在学术研究中被“教训了一顿”。最后,笔者希望与Linux社区重建良好的关系,而研究的出发点也确实是为开源社区的安全做贡献,但没想到事情发展成这样。对于这封公开信,GKH还表示,在明尼苏达大学采取行动之前,无需进一步讨论。为何引起众怒开源项目的维护是建立在信任的基础上的,开发者和维护者是怀着对程序的热爱来开发和维护程序的。对于Linux内核,维护者认为开发者的动机是为了提高Linux内核的质量,开发者也需要证明自己确实对内核进行了改进。没有这种信任,每一次提交内核都需要经过全面的安全审查,这对于Linux内核这样一个维护人员很少的大型项目来说几乎是不现实的。而明尼苏达研究项目在未经他们同意的情况下消耗了维护者大量的时间,只是为了证明“这种信任是脆弱的”。Linux内核维护者GKH已警告研究人员停止提交已知无效的补丁,称他们正在以游戏评论员的方式处理论文。这是错误的,是在浪费维护者的时间,我们正在向明尼苏达大学报告此事。但研究员AdityaPakki回应说:“我要求你停止做出近乎诽谤的疯狂指责。我的补丁的目的是获得反馈。我们不是Linux内核的专家,重复发表这些言论是无礼的。”显然,这一步是错误的,但是你先入为主的偏见太强了,你的指责毫无根据,不给我们任何辩解的机会(无罪推定)。这种态度不仅不受欢迎,对于新手和非专家来说都是也很吓人,所以我不会再发送任何补丁了。”因此也就不难理解为什么GKH会如此愤怒以至于要删除所有明尼苏达研究人员的投稿。
