转载:本文来自微信公众号“CSDN”(ID:CSDNnews),整理:郑丽媛,转载经授权发布。
上个月,“Linux 拉黑明尼苏达大学(UMN)”事件喺开发者圈内引起轩然大波:明尼苏达大学 Kangjie Lu 教授带领嘅研究团队因故意向 Linux 引入漏洞,导致整所大学被禁止参同 Linux 内核开发。(详情可查睇:为写论文畀 Linux “投毒”,导致成个大学都被 Linux 拉黑!)
这对于明尼苏达大学而言,无疑系一场灾难,喺被“拉黑”之后校方也公然表示已暂停该研究并尽快调查。所幸,喺经历道歉、配合调查等一系列努力之后,呢排 Linux 社区还是畀明尼苏达大学“重获信任”嘅希望:如果学校能提高其”汇入 Linux 内核代码嘅质量”,或者 Linux 社区就会恢复同明尼苏达大学嘅合作。
涉事人员公开致歉,Linux 社区并唔原谅
起初,喺事还未进行到“拉黑”呢一步时,涉事学生 Aditya Pakki 还硬怼 Linux 内核维护者 Greg Kroah-Hartman 一通,称他嘅怀疑是“近乎诽谤嘅疯狂指控”。
可喺整所学校都被 Linux 禁止参同内核开发后,或者是意识到事闹大嘎啦,Kangjie Lu 教授以及涉事学生 Qiushi Wu 和 Aditya Pakki 联合署名发表一封致 Linux 内核社区嘅公开道歉信:“对于我哋嘅研究小组对 Linux 内核社区造成嘅任何伤害,我哋深表歉意。”
喺这封致歉信度,该研究小组承认实验方式嘅错误:“我哋非常抱歉。Hypocrite Commits 论文中使用嘅方法是唔恰当嘅。”佢哋也承认没有事先同 Linux 社区进行协商并取得同意,对此佢哋嘅解释为:如果提前告知嘅话,Linux 维护者就会格外注意佢哋提交嘅补丁,从而影响研究结果。
研究小组喺信中一直强调,佢哋并唔系真嘅要伤害社区:“虽然我哋嘅目标是提高 Linux 嘅安全性,但而家我哋明白嘎啦,让社区成为研究对象,并喺其唔知情或未经允许嘅情况下浪费大家嘅精力审查呢啲补丁,系对社区嘅伤害。我哋只想让大家知道,我哋绝唔会故意伤害 Linux 内核社区,也绝唔会引入安全漏洞。我哋嘅工作是抱住美好嘅目标进行嘅,实验都系为寻找和修复安全漏洞。”
此外,对于第啲来自明尼苏达大学嘅补丁,涉事人员喺信中表示佢们同 Hypocrite Commits 事件无关,都系善意嘅、真诚嘅。研究小组喺最后还表示将喺未来“做得更好,仲有好多贡献,并将努力工作以重新获得信任”。
唔过,呢种显然违背开发者之间信任嘅行为,并非公开道歉就可以解决嘅,因而 Linux 社区对佢哋嘅致歉并唔接受,Greg Kroah-Hartman 对此回应道:
“如你们所知,Linux 基金会和 Linux 技术顾问委员会已经喺 4 月 23 日向贵校递交一封信,概述为使贵组和贵校能够重新获得 Linux 内核社区嘅信任而需要采取嘅具体行动。喺你们采取呢啲行动之前,我哋没有任何关于呢个问题进一步讨论嘅必要。”
彼时,对于 Greg Kroah-Hartman 所说嘅“呢啲行动”外界仲未甚认识,唔过从昨日 Linux 技术顾问委员会发布嘅对明尼苏达大学补丁全面检查嘅结果报告度,我哋或者可以窥见一二。
重获信任嘅唯一途径
据 Linux 技术顾问委员会嘅结果报告,来自明尼苏达大学嘅 435 个提交均被重新审查过,其中“绝大多数嘅提交都系没有问题嘅”。
唔过还是有 39 个提交是唔正确嘅,需要修复;有 25 个提交存喺漏洞,唔过已经由后面嘅提交修复;有 12 个提交有问题,唔过而家睇来唔系好重要;仲有 9 个喺 Kangjie Lu 教授嘅研究团队成立之前就存喺嘅漏洞提交,其中有一个已经根据其作者嘅要求进行删除。
此外,报告还发现,5 个故意提交嘅恶意漏洞补丁是用两个假身份提交嘅,呢违反向 Linux 内核贡献代码嘅明文要求。对此,Linux 技术顾问委员会推测,明尼苏达大学似乎允许研究人员喺签署提交嘅时候使用伪造嘅身份。
虽然喺呢次全面审查度,Linux 技术顾问委员会没有喺明尼苏达大学嘅提交中发现新嘅漏洞,唔过内核开发者还是觉得必须进行大量嘅审查。正如 Greg Kroah-Hartman 所说嘅:“我哋被要求要彻查到底。”因为无论可能性有多小,漏洞代码都有可能被故意放入程序中。
同样哋,明尼苏达大学也积极配合 Linux 技术顾问委员会嘅调查及要求,全面披露每个人嘅行为以及 Hypocrite Commits 项目嘅实现过程。
Linux 技术顾问委员会也分别对 Linux 社区和明尼苏达大学畀出相应嘅处理方案:
对 Linux 社区:“Linux 技术顾问委员会将同研究人员共同创建一个文档,解释喺同内核(和一般嘅开源项目)一齐工作时所有研究小组应遵循嘅最佳规范。”
对于明尼苏达大学,由于该大学失去 Linux 社区嘅信任,因此Linux 技术顾问委员会要求明尼苏达大学同好多公司和第啲研究组织一样:
“选定一组经验丰富嘅内部开发者,对提议并入内核嘅代码喺公开提交之前对其进行审查并提供反馈。咁样会使社区唔再需要反复提醒开发者基本规范,例如遵守编码标准和全面测试补丁,以此产生更高质量嘅补丁,喺内核社区中遇到嘅问题会更少。”
目前睇来,呢或者都系明尼苏达大学逃离 Linux “黑名单”嘅唯一途径,喺此之前,明尼苏达大学嘅提交仲系唔受 Linux 社区嘅待见。
信任嘅打破剩系要一个谎言,重获信任却需要付出无尽嘅努力。望各位开发者以此为戒,切勿重蹈覆辙。
参考链接:
cantonese.live 足跡 粵字翻譯
请登录之后再进行评论