事件早在今年2月,美国明尼苏达大学的研究人员吴秋实和卢康杰发表了一篇研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,分析了开源项目的安全性。为了做研究,他们向一些开源项目提交了一些有bug的代码,其中Linux内核是他们主要的实验“场地”。这项研究是在去年进行的,当时提交的代码没有出现导致安全漏洞的情况,有些甚至成功地合并到Linux内核树中。在相关研究论文于2月发布后,明尼苏达大学的研究人员希望继续提交由“新型静态分析器”创建的补丁。4月21日,Linux内核管理员GregKroah-Hartman在给明尼苏达工作人员的一封电子邮件中表示:你和你的团队之前提交了有bug的代码,以观察Linux内核社区的反应,并在此基础上发表了一篇论文。现在您想提交一批新的有问题的代码,这些代码显然不是由静态分析工具创建的。Greg表示:“Linux社区欢迎愿意帮助Linux的开发人员,但不希望成为‘测试’无用或错误代码的试验场。……因此,我必须禁止明尼苏达大学未来的所有贡献并把你之前的贡献全部撤销。”随后,Greg在一封邮件中表示,来自@umn.edu邮箱的代码提交被视为“恶意提交”,因此,该团队提交给Linux内核树的所有代码都将恢复到原始状态并重新审查,以确保表示已经得到有效修复,Linus表达了对Linus火爆脾气的不满,相信大家都知道,这起事件本身的来头并不低,除了Linus自己的标签外,外媒ITWire就《明尼苏达大学秘密引进》采访了LinusvulnerabilitiesintoLinux”。不过这一次Linus并没有对此事做出激烈的回应,他只是平静的回应:“从技术上讲,我认为这没什么大不了的,但这让人很生气,因为这显然违反了开发者的协议。人与人之间的信任。Linus是对的,因为在开源社区,有一个共同的忌讳:开源作者把项目开源已经是一件很辛苦的工作了,日常的维护工作也不容易,但是有些人在做实验和故意多次提交带有漏洞的恶意补丁,此举的目的只是为了看看开源维护者如何应对。Linux庞大的内核社区的规模使得程序员之间的信任成为开发过程的重要组成部分。关键部分。所以Linus对此表示不满:“这很烦人,因为大部分补丁都是有用的(通常补丁不是‘无用’或者‘故意提交恶意代码’),所以从根本上说,这种行为是在浪费大家的时间。”“涉事教授:Aditya并不是说这件事的影响已经超出预期,所以当面对质疑时,涉事教授在推特上回应:“我们为大家的担忧道歉,我理解社区对此感到不安的原因,但关于伪君子提交的项目早在2020年11月就完全结束了,Aditya正在开展一个新项目,寻找补丁中的错误,他并不是故意做错的。”除此之外,在卢康杰的个人主页上,我们可以看到这篇论文下面有2行黑体《论通过假意提交代码在开源软件中偷偷引入漏洞的可行性》:“这个实验没有引入OSS的任何漏洞,也没有引入漏洞。它是一个安全演示如何修复漏洞在该漏洞中。没有用户受到影响,该实验获得了IRB的批准,实际上修复了3个真正的漏洞。”KangjieLu还补充说:这个实验涉及到的bugpatch并没有真正进入代码,它只是留在了电子邮件中。恰巧Aditya在做另一个新项目时,不小心提交给Linux的patch出错了。有过提交补丁经验的人都知道,错误在所难免,但Linux内核维护者却将这两个项目联系起来,才导致了现在的局面。而且,当陆康杰被问到“这个项目会不会浪费管理员的精力”时,他的回答是:“会。”所以他们知道这个实验会浪费Linux内核维护者不足的时间,但是这个实验还是进行了。但是这个实验为什么不利用Linux开源工作者的热情和义务,变相地给他们增加负担呢?参考链接:https://itwire.com/open-source...https://twitter.com/kengiter/...END-
