道歉无用，被 Linux “拉黑”嘅明尼苏达大学仲喺度努力重获信任

转载：本文来自微信公众号“CSDN”（ID:CSDNnews），整理：郑丽媛，转载经授权发布。

上个月，“Linux 拉黑明尼苏达大学（UMN）”事件喺开发者圈内引起‌轩然大波：明尼苏达大学 Kangjie Lu 教授带领嘅研究团队因故意向 Linux 引入漏洞，导致整所大学被禁止参同 Linux 内核开发。（详情可查睇：为‌写论文畀 Linux “投毒”，导致成个大学都被 Linux 拉黑！）

这对于明尼苏达大学而言，无疑系一场灾难，喺被“拉黑”之后校方也公然表示已暂停该研究并尽快调查。所幸，喺经历道歉、配合调查等一系列努力之后，呢排 Linux 社区还是畀‌明尼苏达大学“重获信任”嘅希望：如果学校能提高其”汇入 Linux 内核代码嘅质量”，或者 Linux 社区就会恢复同明尼苏达大学嘅合作。

涉事人员公开致歉，Linux 社区并唔原谅

起初，喺事还未进行到“拉黑”呢一步时，涉事学生 Aditya Pakki 还硬怼‌ Linux 内核维护者 Greg Kroah-Hartman 一通，称他嘅怀疑是“近乎诽谤嘅疯狂指控”。

可喺整所学校都被 Linux 禁止参同内核开发后，或者是意识到事闹大嘎啦，Kangjie Lu 教授以及涉事学生 Qiushi Wu 和 Aditya Pakki 联合署名发表‌一封致 Linux 内核社区嘅公开道歉信：“对于我哋嘅研究小组对 Linux 内核社区造成嘅任何伤害，我哋深表歉意。”

喺这封致歉信度，该研究小组承认‌实验方式嘅错误：“我哋非常抱歉。Hypocrite Commits 论文中使用嘅方法是唔恰当嘅。”佢哋也承认没有事先同 Linux 社区进行协商并取得同意，对此佢哋嘅解释为：如果提前告知嘅话，Linux 维护者就会格外注意佢哋提交嘅补丁，从而影响研究结果。

研究小组喺信中一直强调，佢哋并唔系真嘅要伤害社区：“虽然我哋嘅目标是提高 Linux 嘅安全性，但而家我哋明白嘎啦，让社区成为研究对象，并喺其唔知情或未经允许嘅情况下浪费大家嘅精力审查呢啲补丁，系对社区嘅伤害。我哋只想让大家知道，我哋绝唔会故意伤害 Linux 内核社区，也绝唔会引入安全漏洞。我哋嘅工作是抱住美好嘅目标进行嘅，实验都系为‌寻找和修复安全漏洞。”

此外，对于第啲来自明尼苏达大学嘅补丁，涉事人员喺信中表示佢们同 Hypocrite Commits 事件无关，都系善意嘅、真诚嘅。研究小组喺最后还表示将喺未来“做得更好，仲有好多贡献，并将努力工作以重新获得信任”。

唔过，呢种显然违背‌开发者之间信任嘅行为，并非公开道歉就可以解决嘅，因而 Linux 社区对佢哋嘅致歉并唔接受，Greg Kroah-Hartman 对此回应道：

“如你们所知，Linux 基金会和 Linux 技术顾问委员会已经喺 4 月 23 日向贵校递交‌一封信，概述‌为‌使贵组和贵校能够重新获得 Linux 内核社区嘅信任而需要采取嘅具体行动。喺你们采取呢啲行动之前，我哋没有任何关于呢个问题进一步讨论嘅必要。”

彼时，对于 Greg Kroah-Hartman 所说嘅“呢啲行动”外界仲未甚认识，唔过从昨日 Linux 技术顾问委员会发布嘅对明尼苏达大学补丁全面检查嘅结果报告度，我哋或者可以窥见一二。

重获信任嘅唯一途径

据 Linux 技术顾问委员会嘅结果报告，来自明尼苏达大学嘅 435 个提交均被重新审查过，其中“绝大多数嘅提交都系没有问题嘅”。

唔过还是有 39 个提交是唔正确嘅，需要修复；有 25 个提交存喺漏洞，唔过已经由后面嘅提交修复‌；有 12 个提交有问题，唔过而家睇来唔系好重要；仲有 9 个喺 Kangjie Lu 教授嘅研究团队成立之前就存喺嘅漏洞提交，其中有一个已经根据其作者嘅要求进行‌删除。

此外，报告还发现，5 个故意提交嘅恶意漏洞补丁是用两个假身份提交嘅，呢违反‌向 Linux 内核贡献代码嘅明文要求。对此，Linux 技术顾问委员会推测，明尼苏达大学似乎允许研究人员喺签署提交嘅时候使用伪造嘅身份。

虽然喺呢次全面审查度，Linux 技术顾问委员会没有喺明尼苏达大学嘅提交中发现新嘅漏洞，唔过内核开发者还是觉得必须进行大量嘅审查。正如 Greg Kroah-Hartman 所说嘅：“我哋被要求要彻查到底。”因为无论可能性有多小，漏洞代码都有可能被故意放入程序中。

同样哋，明尼苏达大学也积极配合 Linux 技术顾问委员会嘅调查及要求，全面披露‌每个人嘅行为以及 Hypocrite Commits 项目嘅实现过程。

Linux 技术顾问委员会也分别对 Linux 社区和明尼苏达大学畀出‌相应嘅处理方案：

对 Linux 社区：“Linux 技术顾问委员会将同研究人员共同创建一个文档，解释喺同内核（和一般嘅开源项目）一齐工作时所有研究小组应遵循嘅最佳规范。”

对于明尼苏达大学，由于该大学失去‌ Linux 社区嘅信任，因此Linux 技术顾问委员会要求明尼苏达大学同好多公司和第啲研究组织一样：

“选定一组经验丰富嘅内部开发者，对提议并入内核嘅代码喺公开提交之前对其进行审查并提供反馈。咁样会使社区唔再需要反复提醒开发者基本规范，例如遵守编码标准和全面测试补丁，以此产生更高质量嘅补丁，喺内核社区中遇到嘅问题会更少。”

目前睇来，呢或者都系明尼苏达大学逃离 Linux “黑名单”嘅唯一途径，喺此之前，明尼苏达大学嘅提交仲系唔受 Linux 社区嘅待见。

信任嘅打破剩系要一个谎言，重获信任却需要付出无尽嘅努力。望各位开发者以此为戒，切勿重蹈覆辙。

参考链接：

链接

链接