上周,Linux 内核维护者 Greg Kroah-Hartman,突然把整个明尼苏达大学「拉黑」了。
事件起因最早可以追溯到 2020 年,明尼苏达大学计算机科学与工程系的两位研讨者(Qiushi Wu 和 K.J Lu)在撰写论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》时,尝试将 bad patch 放入 Linux 内核中作为测试,用于研讨开源社区的漏洞。此举受到了 Linux 社区的警告。
随后,该研讨团队发文澄清了这件事,声明论文手段在于提升开源软件修补过程的安全性,并且论文也被 2021 IEEE 安全与隐私研讨会接收。
但今年 4 月,Lu 熏陶的另一位博士生 Aditya Pakki 向 Linux 内核提交了一个小补钉,之后几天有 Linux 社区成员发现了代码中存在的题目,并认为该补钉的提交者是「故意的」。接着,社区其他成员又发现了他提交的另外 3 个类似的补钉,并表示「这些补钉均带有严重的漏洞」。
在与 Aditya Pakki 的 battle 中,Linux 内核维护者 Greg Kroah-Hartman 被惹怒了,表示「将禁止明尼苏达大学向 Linux 内核提交贡献。」明尼苏达大学计算机科学与工程系官方表示「我们非常严肃地处理整件事情,并立即暂停了这项研讨。我们还将追查研讨所采用的方法以及审核流程,确定适当的补救措施,并为将来出现的其他题目做好准备。」
事件持续发酵之后,Lu 熏陶所在的研讨团队于近日向 Linux 内核团队公开赔罪,但遗憾的是并没有获得原谅。
UMN 研讨团队公开赔罪,Linux 内核团队未接受
当地时间上周六,Lu 熏陶团队(Kangjie Lu、 Qiushi Wu、Aditya Pakki)联合署名发表了一封致 Linux 内核社区的公开赔罪信,向 Linux 社区赔罪,并进一步阐明了自己的研讨并非故意伤害 Linux 社区。
其中 Kangjie Lu 是负责该项手段助理熏陶,而 Qiushi Wu 和 Aditya Pakki 都是 Lu 助理熏陶带的博士生,其中 Qiushi Wu 是那篇论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》的一作,而 Aditya Pakki 不是该论文的作者,但是是引发这场争议的补钉提交者。
完整公开信地址:https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u
公开信开篇表述称,该研讨小组为其对 Linux 内核社区造成的任何伤害表示真诚的歉意。「我们非常抱歉。Hypocrite Commits 论文中使用的方法是不恰当的。」
「我们只想让你们知道,我们绝不会故意伤害 Linux 内核社区,也绝不会引入安全漏洞。我们的工作是出于良好的手段进行的,其手段是发现和修复安全漏洞。」并表示,他们错在没有在进行研讨之前先与 Linux 社区进行协商并获得许可。但信中也解释称,因为他们知道自己不能提前向 Linux 的维护者征求许可,否则就会引起维护者对这些补钉的注意,从而影响研讨结果。
公开信中称「hypocrite commits」工作于 2020 年 8 月开展,它的手段是提高 Linux 中补钉过程的安全性。作为项手段一部分,我们研讨了 Linux 修补过程中可能出现的题目,包括题目的原因以及解决这些题目的建议。
公开信最后指出,研讨组成员对 Linux 内核社区所需承担的额外工作感到由衷的抱歉,他们在痛苦之余也从这次事件中汲取了一些关于与开源社区研讨的重要教训。「我们可以而且会做得更好,我们相信在未来还有很多贡献,并将努力工作以重新获得你们的信任。」
对此,Linux 的内核维护者 Greg Kroah-Hartman 则回应称:
如你们所知,Linux 基金会和 Linux 基金会的技术顾问委员会已于 4 月 23 日向贵校递交了一封信,概述了为了使贵组和贵校能够重新获得 Linux 内核社区的信任而需要采取的具体行动。
在你们采取这些行动之前,我们没有任何关于这个题目的进一步讨论。
针对此事,Linux 之父 Linus Torvalds 也表示,虽然这样的提交并不是什么大题目,但却显然是一种违反信任的行为。
参考链接:
https://www.oschina.net/news/139129/minnesota-hypocrite-commit-open-letter
https://arstechnica.com/gadgets/2021/04/linux-kernel-team-rejects-university-of-minnesota-researchers-apology/