共计 1735 个字符,预计需要花费 5 分钟才能阅读完成。
事件回溯
往年 2 月,来自美国明尼苏达大学的研究者 Qiushi Wu 和 Kangjie Lu 公布了一篇钻研论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,旨在剖析开源我的项目的安全性。为了做钻研,他们向一些开源我的项目提交了一些有 BUG 的代码,其中 Linux 内核正是他们的次要试验「场地」。
这项钻研在去年进行,过后提交的代码仿佛并未引起安全漏洞,有一些甚至被胜利合并入 Linux 内核树。
2 月份相干钻研论文公布后,明尼苏达大学研究者想持续提交由「新型动态分析器」创立的 patch。
4 月 21 日,Linux 内核管理员 Greg Kroah-Hartman 在与明尼苏达人员沟通的邮件中示意:
您和您的团队此前提交了有 bug 的代码,以察看 Linux 内核社区的反馈,并据此发表了一篇论文。当初,您想提交新的一批有问题代码,这些代码显然并非动态剖析工具创立而成。
Greg 示意:「Linux 社区欢送有志愿帮忙 Linux 的开发者,但不心愿成为试验场,承受有益代码或有 BUG 代码的『测试』。…… 因而,我必须禁止明尼苏达大学将来所有的奉献,并将您之前的奉献全副撤销。」
随后,Greg 在一封电子邮件中示意:来自 @umn.edu 邮件地址的代码提交被认为是「歹意提交」。因而,这一团队向 Linux 内核树提交的所有代码将被恢复原状,并进行从新 review,以确定失去无效修复。
Linus 示意不满
Linus 的火爆脾气置信大家都理解,此事件自身就热度不低,再加上 Linus 的自带标签,外媒 IT Wire 就“明尼苏达大学偷偷往 Linux 引入破绽”一事采访了 Linus 的认识。
但这次 Linus 并没有就此事开展强烈的回应,他只是很平静的回应道:
“从技术上讲我并不感觉这是什么小事,但这让人们很怄气,因为这显然违反了开发者之间的信赖。
Linus 说的没错,因为在开源社区中,有一个大家共通的禁忌:
开源作者将我的项目开源曾经是个很艰巨的工作了,而且日常的保护工作也并不轻松,但却有人为了做试验成心屡次提交带有破绽的歹意补丁,而此行动的目标居然只是为了看开源维护者如何应答。
Linux 宏大的内核社区的规模,更是让程序员之间的信赖成为了开发过程中至关重要的一部分。
因而 Linus 对此示意不满:
“这很让人厌恶,因为大部分的补丁是有用的(通常补丁不是”无用的”或者“成心提交恶意代码”),所以从根本上来说,这种行为就是在节约大家的工夫。“
涉事传授:Aditya 并非成心
此事件的影响曾经超出预期,所以当面对质问时,涉事传授 Kangjie Lu 在推特上回应道:
“咱们对于您的担心深表歉意,我明确社区为什么会对此不满,但对于 hypocrite commits 的我的项目早在 2020 年 11 月就齐全完结了,而 Aditya 正在着手于一个在补丁中找破绽的新我的项目,他并不是故意犯错的。”
除此之外,在 Kangjie Lu 的个人主页上,咱们能够看见《论通过假意提交代码在开源软件中偷偷引入破绽的可行性》这篇论文下有 2 行加粗的标注:
“这个试验没有在 OSS 中引入任何破绽或引入破绽提交。它以一种平安的形式展现了修复破绽中的缺点。没有用户受到影响,并且这项试验取得了 IRB 的批准,而它实际上还修复了 3 个真正的破绽。”
Kangjie Lu 还补充道:这项实验所波及到的漏洞补丁并没有真正进入代码,它只停留在了 email 里。而刚巧 Aditya 在进行另一个新我的项目时,向 Linux 提交的补丁不小心呈现了谬误。
有过提交补丁教训的人都晓得,出错是在劫难逃的,可 Linux 内核维护者却将这两个我的项目相分割,所以才导致了当初的场面。
并且,Kangjie Lu 已经在被问到“该我的项目是否会节约管理员精力”时,他的答复是:“会。”
所以他们明知这项试验会节约 Linux 内核维护者本就不富余的工夫,却还是进行了这个试验。可这项试验又何尝不是利用 Linux 开源工作者的激情与任务,变相向他们增负呢?
参考链接:
https://itwire.com/open-sourc…
https://twitter.com/kengiter/…
- END –