因故意引入漏洞,整所大学被禁止为Linux内核做贡献,回应来了!
喜欢就关注我们吧!
文 | Travis
出品 | OSC开源社区(ID:oschina2013)
Linux 内核项目维护者 Greg Kroah-Hartman 决定禁止美国明尼苏达大学(UMN)为开源 Linux 项目做贡献。其原因是明尼苏达大学的研究人员被发现提交了一系列的恶意代码,或故意在官方 Linux 代码库中引入有安全漏洞的补丁以作为其研究活动的一部分。
鉴于上述原因,Greg 决定还原从 @umn.edu 电子邮件地址提交的所有代码提交。
"来自 @umn.edu 地址的提交被发现是恶意提交,正因为如此,所有来自这个组织的提交必须从内核树中还原,并需要再次重新审查,以确定它们是否真的是有效的修复。"
明尼苏达大学的研究人员故意在 Linux 内核主线中隐蔽地引入漏洞,并基于此在2021年2月发表了一篇阐述“开源不安全”的论文(论文署名为 Qiushi Wu 和 Kangjie Lu)。这项研究的重点就是通过提交恶意或不安全的代码补丁,故意在 Linux 内核中引入已知的安全漏洞。
论文:https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
但是,即使在这篇论文之后,明尼苏达大学的研究人员还推出了新一轮的补丁,这些补丁声称来自 "一个新的静态分析器",实际上该补丁没有任何真正的价值。无论好坏,至少是在浪费上游开发者的时间,而这最终导致 Greg 决定禁止他们在未来尝试为 Linux 内核做贡献。
Greg 今天早上在内核邮件列表中写道:"这些新的补丁显然根本就没有修复任何东西。那么,除了你和你的团队继续通过发送这种无稽之谈的补丁来对内核社区的开发者进行试验之外,我还能想到什么呢?任何对 C 语言有一定了解的人都可以看到你提交的补丁根本没有任何作用。正因为如此,我现在不得不禁止你们大学今后的所有贡献,并删除你们以前的贡献,因为它们显然是以恶意的方式提交的,目的是为了造成问题。因此,不再欢迎来自明尼苏达大学的人对上游的 Linux 内核开发作出贡献。“
截止到目前,已确认明尼苏达大学之前对 Linux 内核提交的补丁(有意义的补丁)将会被恢复。
更新:明尼苏达大学计算机科学与工程学院针对此事作出回应,回应内容如下:
明尼苏达大学计算机科学与工程学院的领导今天了解到该系的一名教师和研究生正在对 Linux 内核的安全性进行研究细节。所使用的研究方法引起了 Linux 内核社区的严重关切,这已经导致大学被禁止对 Linux 内核做出贡献。
我们对这种情况极为重视,我们已经立即暂停了这个研究方向。我们将调查该研究方法和批准该研究方法的过程,确定适当的补救措施,并在必要时防范未来的问题。我们将尽快向社会报告我们的调查结果。
回应原文查看:https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021
2021-04-21
2021-04-20
2021-04-20