明尼蘇達被Linux 拉黑?華人教授發公開信稱補丁沒有危害,GKH:不講武德
開源軟件由于其公開性,能夠被大量開發人員驗證,所以一向被認為是安全的。
但即便是如「空氣」一般無所不在的linux,也不見得是完全安全的!
來自明尼蘇達大學的研究者就成功向開源社區(主要是Linux)提交了多個看似是修正補丁的漏洞。
這種研究方法引來Linux維護人員的憤怒,Linux 內核社區撤銷了之前他們提交的所有 Linux 內核代碼。除了禁止明尼蘇達大學對上游內核的貢獻之外,Greg Kroah-Hartman還計劃回滾所有umn.edu的補丁,涉及到190個歷史補丁代碼。
這項研究的主要人員Kangjie Lu, Qiushi Wu和Aditya Pakki于4月24日晚在Linux社區發表公開信,信中表示他們已經認識到了這項研究的危害性,繼續重申其他明尼蘇達大學研究人員的補丁是真誠無害的,和本次項目無關。
公開信除了道歉還有什么
信中首先表示「hypocrite commits」論文中的研究方法是不合適的,浪費了開源社區的資源,并且沒有事先征得Linux維護人員的同意。
hypocrite commits 這項工作從 2020 年 8 月開始研究,主要目的是提升Linux補丁的安全性,這項研究主要的貢獻在于找到現在風險的原因并解決他們。
作者認為這項工作并沒有大眾認為的危害性:
1、沒有引入有危害的代碼。三個錯誤的補丁也只是在社區中進行討論,并且在論文發表前已經向Linux社區報告過這些問題。
2、190個無辜的補丁并沒有參與到我的工作中,他們確實是為了解決linux存在的bug而提交的。
3、最新的補丁是2021年4月提交的,并沒有在hypocrite commits項目中,而是一個新的項目,用來自動找到其他人提交補丁中的bug用的。
作者也表示在學術研究方面被「上了一課」。
最后作者希望能夠與Linux社區重建良好的關系,并且研究的出發點確實是想要為開源社區的安全性做貢獻,只是沒想到事情發展成這樣。
對于這封公開信,GKH也表示在明尼蘇達大學采取行動之前,無需更多的討論。
為何會引發眾怒
開源項目的維護建立在信任的基礎上,開發者與維護者秉持著對程序的熱愛來開發維護。
對于Linux內核來說,維護者相信開發者的動機是改善Linux kernel的質量,而開發者也需要說明自己確實是改善了內核。
如果沒有了這種信任,那么每一次對kernel的提交都要進行完善的安全審查,對于類似Linux kernel這樣龐大的,維護人員又不多的項目來說幾乎是不現實的。
而明尼蘇達的研究項目在未經他們同意的情況下,耗費了維護人員大量的時間,只是為了證明「這種信任很脆弱」。
Linux kernel維護人員GKH警告研究人員停止提交已知無效的補丁,并認為他們是在以一種玩弄評審人員的方式來完成論文。這是錯誤的,浪費了維護人員的時間,我們要和明尼蘇達大學報告此事。
但研究人員Aditya Pakki回應稱「我要求你停止進行近乎誹謗的瘋狂指責。我發送補丁的目的是希望得到反饋。我們不是Linux內核方面的專家,反復發表這些言論讓人聽了很反感。顯然,這個步驟是錯誤的,但你的先入為主的偏見是如此強烈,以至于你提出的指控毫無根據,也不給我們辯解(無罪推定)的任何機會。這種態度不僅不受歡迎,而且對新手和非專家也是一種恐嚇,因此我將不會再發送任何補丁。」
因此,這也不難理解為什么GKH如此憤怒,以至于要把明尼蘇達的所有研究人員的提交都刪除。
