今年2月,美国明尼苏达大学研究员吴秋实和卢康杰发表研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities inOpen-Source Software via Hypocrite Commits》,分析开源项目的安全性。为了做研究,他们向一些开源项目提交了一些有bug的代码,其中Linux内核是他们主要的实验“场地”。公开道歉信内容明尼苏达大学针对该事件的相关研究人员——卢康杰助理教授和博士生吴秋实、AdityaPakki向Linux内核社区发表了公开道歉信。这封公开信首先表示,研究小组对给Linux内核社区造成的任何伤害深表歉意。“我们非常抱歉。HypocriteCommits论文中使用的方法不合适。”并表示他们犯了在进行研究之前没有咨询Linux社区并获得其许可的错误。但信中也解释说,因为他们知道不能提前向Linux维护者征求许可,否则会引起维护者对这些补丁的注意,从而影响研究结果。虽然我们的目标是提高Linux的安全性,但我们现在明白,我们将社区作为我们的研究主题并在他们不知情或未经许可的情况下浪费每个人的精力来审查这些补丁,这对社区是一种伤害。我们只想让您知道,我们绝不会故意伤害Linux内核社区,也不会引入安全漏洞。我们的工作是出于寻找和修复安全漏洞的最佳意图。信中还强调,来自UMN.edu的其他补丁都是善意和真诚的。“所有其他190个被恢复和重新评估的补丁都是作为其他项目的一部分提交的,并作为对社区的服务;它们与HypocriteCommits事件无关。这190个补丁是针对代码响应中的真正错误,并且作为据我们所知,它们是毫无问题地提交的。”公开信最后表示,研究组成员对Linux内核社区不得不承担的额外工作深表歉意,他们正在遭受痛苦我也从这次事件中吸取了一些关于与开源社区进行研究的重要教训.“我们可以而且会做得更好,我们相信我们在未来可以做出很多贡献,并将努力重新获得您的信任”。Linux态度在收到这封公开信后,Linux内核维护者GregKroah-Hartman只给出了简短的回复:“如你所知,Linux基金会和技术顾问委员会于4月23日星期五向贵校发出了一封信。信中概述了贵校的行动大学和团体需要采取行动,以重新获得Linux内核社区的信任。在你们采取行动之前,我们不会进行进一步的讨论。”SudipMukherjee表示发送的补丁需要一些时间才能被删除,他在4月21日写信给Kroah-Hartman,指出许多这些错误已经转移到Linux内核。除此之外,他还在信中提到“我可以在今天结束前给你发一个恢复补丁来保持内核稳定(如果你的脚本还没有完成的话)”。Kroah-Hartman回答说:“是的,如果内核中已经有了这些列表,并且让我们有一个恢复补丁程序,这样我们就不必做那些额外的工作,那就太好了。”完整公开信地址:https://www.oschina.net/actio...参考链接:https://www.itwire.com/open-s...
