Linux 内核“引漏洞”明大教授：研究目的良好，从未蓄意引漏洞

Linux 内核管理员“怒封”明大

当地时间 21 日，Linux 内核项目维护者 Greg Kroah-Hartman 在内核邮件列表^[1]中发文：《还原所有来自 umn.edu（明尼苏达大学）的提交》，并决定“拉黑”明大。

具体经过本文不再重复，请见前几天的文章。

此事随后在外网发酵，引发技术圈的热议。随后明大计系也出面回应，暂停相应研究。

（明大官网公开信息）

明大涉事教授：从未蓄意引入漏洞

23 日，网友@tombkeeper 在微博上转发了当事人 Kangjie Lu 发布在朋友圈的澄清回应：网络报道有很多错误，从未蓄意引入漏洞。

明大涉事教授携学生公开道歉

（当地时间）4 月 24 日，明大当事人助理教授在 Linux 内核发布了一封公开信^[2]，对自己团队的不当行为向 Linux 内核社区表示称歉意。

尊敬的社区成员：

我们真诚地为我们的研究小组对 Linux 内核社区造成的伤害道歉。我们的目标是识别打补丁过程中的问题和解决方法，我们非常抱歉在“伪君子提交”论文中使用的方法是不合适的。正如许多观察家向我们指出的那样，我们犯了一个错误，在开展这项研究之前没有与社区协商和获得许可；我们这样做是因为我们知道我们不能请求 Linux 的维护者的许可，否则他们会在寻找伪君子补丁。虽然我们的目标是提高 Linux 的安全性，但我们现在明白了将其作为我们研究的主题对社区是有害的，并且在社区不知情或不允许的情况下浪费社区的精力来审查这些补丁。

我们是想让大家知道，我们绝不会有意伤害 Linux 内核社区，也绝不会引入安全漏洞。我们的工作意图良好，所有的工作都是关于发现和修复安全漏洞。

我们是在 2020 年 8 月开展“伪君子提交”的研究，它的目的是提高 Linux 补丁程序的安全性。作为项目的一部分，我们研究了 Linux 补丁过程中的潜在问题，包括问题产生的原因和解决建议。

• 这项工作没有在 Linux 代码中引入漏洞。有 3 个错误的补丁在 Linux 留言板的交换过程中被讨论并停掉了，并且从未提交到代码中。在论文提交之前，我们向 Linux 社区报告了我们的研究结果和结论(不包括不正确的补丁)，收集了他们的反馈，并将它们放在论文中。

• 其他 190 个补丁及重新评估的修补程序，均是作为其他计划的一部分及为社区服务而提交的，它们与“伪君子提交”论文没有关系。

• 这 190 个补丁是对代码中实际错误的回应，并且在我们提交时，所有这些错误（据我们所知）都是正确的。

• 我们了解社区渴望获得并检查这 3 个不正确的补丁程序的愿望。这样做将揭示在留言板上响应这些补丁的社区成员的身份。因此，我们正在努力获得他们的同意，然后公布这些补丁。

• 我们最近在 2021 年 4 月发布的补丁也不是“伪君子提交”论文的一部分。我们一直在进行一个新项目，旨在自动识别由其他补丁(不是我们)引入的 bug。我们准备并提交了补丁来修复已识别的错误，以遵守责任披露的规则，我们很高兴与 Linux 社区分享这个新项目的细节。

我们是一个研究小组，其成员致力于改进 Linux 内核。在过去的  5 年里，我们一直致力于寻找和修补 Linux 中的漏洞。过去对补丁过程的观察促使我们也去研究和解决补丁过程本身的问题。当前的事件引起了 Linux 社区对我们、研究小组和明尼苏达大学的极大愤怒。我们无条件地道歉，我们现在认识到这是对开源社区共享信任的破坏，并寻求对我们的错误的原谅。

我们寻求重建与 Linux 基金会和 Linux 社区的关系，我们希望可以再次为我们提高 Linux 软件的质量和安全性的共同目标做出贡献。我们将与我们院系合作，为寻求开展开源项目、对等生产网站和其他在线社区研究的教师和学生开发新的培训和支持。我们致力于通过与社区领导者和成员就我们的研究项目的性质进行咨询，遵循最佳合作研究实践，并确保我们的工作不仅满足 IRB 的要求，也要满足此次事件之后社区对我们的期望。

虽然这个问题对我们来说也很痛苦，我们对 Linux 内核社区所做的额外工作感到真诚的抱歉，但我们从这个事件中学到了一些关于开源社区研究的重要教训。我们能够也一定会做得更好，我们相信我们在未来还有很多可以做的，我们会努力重新赢得大家的信任。

真诚的，

Kangjie Lu、Qiushi Wu 和 Aditya Pakki

明尼苏达大学

参考资料