Linux内核是目前最大的软件项目之一,有2800万行代码。来自世界各地的贡献者每天都会向Linux内核管理员提交大量补丁,经过审核后合并到官方Linux内核树中。这些补丁可以帮助修复Linux内核中的错误或问题,或引入新功能。今年2月,美国明尼苏达大学的研究人员吴秋实和卢康杰发表了一篇研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,分析了开源项目的安全性。为了做研究,他们向一些开源项目提交了一些有bug的代码,而Linux内核是他们主要的实验“场地”。据最新消息,Linux内核管理员GregKroah-Hartman宣布撤回该团队的代码提交,并禁止明尼苏达大学未来的所有贡献。让我们来看看这件事的来龙??去脉。这项研究是在去年进行的,当时提交的代码没有出现导致安全漏洞的情况,有些甚至成功地合并到Linux内核树中。在相关研究论文于2月发布后,明尼苏达大学的研究人员希望继续提交由“新型静态分析器”创建的补丁。4月21日,Linux内核管理员GregKroah-Hartman在给明尼苏达工作人员的一封电子邮件中表示:你和你的团队之前提交了有bug的代码,以观察Linux内核社区的反应,并在此基础上发表了一篇论文。现在您想提交一批新的有问题的代码,这些代码显然不是由静态分析工具创建的。Greg表示:“Linux社区欢迎愿意帮助Linux但不想成为使用无用或错误代码进行‘测试’的试验场的开发人员。……因此,我必须禁止明尼苏达大学和将你之前的贡献全部撤销。”随后,Greg在一封邮件中表示,来自@umn.edu邮箱的代码提交被视为“恶意提交”,因此,该团队提交给Linux内核树的所有代码都将恢复到原始状态并重新审查,以确保它已得到有效修复。一篇论文引起了轰动,学校计算机系出面调查此事的导火索。吴秋实和卢康杰的论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》已发表并被第42届IEEE安全与隐私研讨会接受。在KangjieLu的个人主页上,我们可以看到这样一条信息:本次实验没有引入任何导致bug的bug或提交到开源软件(OSS)中。本研究旨在以安全的方式调查修补过程中的缺陷。该实验未影响任何用户,并获得IRB豁免(IRBExempt)。此外,这个实验修复了3个真正的错误。事实上,在去年12月发布的澄清声明中,两位研究人员介绍了实验过程,称实验不会引入Bug或漏洞。但是针对“这个项目是不是在浪费管理员的精力?”这个问题。他们说“是的”。但为了减少浪费,他们提交了尽可能小的补丁,并修复了3个真正的错误。不过,目前事物的发展趋势似乎已经超出了预期。明尼苏达大学计算机科学与工程系表示将调查此事:停止研究。我们将调查研究方法以及批准研究方法的过程,以确定适当的补救措施。如有必要,我们会尽快向社区报告我们的发现。参考链接:邮箱:https://lore.kernel.org/linux...https://lore.kernel.org/lkml/...论文:https://github.com/QiushiWu/Q...澄清声明:https://www-users.cs.umn.edu/...明尼苏达大学计算机科学与工程系声明:https://cse.umn.edu/cs/statem...
