往年 2 月,来自美国明尼苏达大学的研究者 Qiushi Wu 和 Kangjie Lu 公布了一篇钻研论文《On the Feasibility of Stealthily Introducing Vulnerabilities inOpen-Source Software via Hypocrite Commits》,旨在剖析开源我的项目的安全性。为了做钻研,他们向一些开源我的项目提交了一些有 BUG 的代码,其中 Linux 内核正是他们的次要试验「场地」。
赔罪公开信内容
明尼苏达大学此次事件的相干钻研人员——助理传授 Kangjie Lu 和博士生 Qiushi Wu、Aditya Pakki 发表了一封致 Linux 内核社区的公开道歉信。
公开信开篇表述称,该钻研小组为其对 Linux 内核社区造成的任何挫伤示意真挚的歉意。
“咱们十分道歉。Hypocrite Commits 论文中应用的办法是不失当的。”
并示意,他们错在没有在进行钻研之前先与 Linux 社区进行协商并取得许可。但信中也解释称,因为他们晓得本人不能提前向 Linux 的维护者征求许可,否则就会引起维护者对这些补丁的留神,从而影响钻研后果。
尽管咱们的指标是进步 Linux 的安全性,但咱们当初明确,让社区成为咱们钻研的对象,并在其不知情或未经容许的状况下节约大家的精力审查这些补丁,是对社区的挫伤。
咱们只想让大家晓得,咱们绝不会故意伤害 Linux 内核社区,也绝不会引入安全漏洞。咱们的工作是抱着最好的目标进行的,都是为了寻找和修复安全漏洞。
信中还强调称,其余来自 UMN.edu 的补丁都是善意的、真挚的。
“所有其余 190 个被复原和从新评估的补丁都是作为其余我的项目的一部分和对社区的服务而提交的;它们与 Hypocrite Commits 事件无关。这 190 个补丁是对代码中所存在的真正的谬误的回应,并且就咱们所能分别的水平而言,它们在提交的时候都是没有问题的。”
公开信最初指出,钻研组成员对 Linux 内核社区所需承担的额定工作感到由衷的道歉,他们在苦楚之余也从这次事件中吸取了一些对于与开源社区钻研的重要教训。“咱们能够而且会做得更好,咱们置信咱们在将来还有很多奉献,并将致力工作以从新取得你们的信赖”。
Linux 的态度
在收到公开信后,Linux 的内核维护者 Greg Kroah-Hartman 只给出了简短的回复:
“家喻户晓,Linux 基金会和技术顾问委员会于 4 月 23 日星期五向您的大学递交了一封信,概述了您的大学以及小组为了可能从新取得 Linux 内核社区的信赖而须要采取的口头。
在你们做出口头之前,咱们不会有进一步的探讨。”
Sudip Mukherjee 表明发送的这些补丁将须要一些工夫能力删除,他于 4 月 21 日写信给 Kroah-Hartman,指出其中许多 bug 曾经传送到了 Linux 的内核。
除此之外,他还在信中提到“我能够在明天完结之前向您发送复原补丁,以放弃内核稳固(如果您的脚本还没有实现的话)。”
Kroah-Hartman 回复道:
“是的,如果您有这些曾经存在于内核中的列表,并能够让咱们领有复原补丁的程序就很棒,这将使咱们解脱那些不得不做的额定工作。”
残缺公开信地址:
https://www.oschina.net/actio…
参考链接:
https://www.itwire.com/open-s…