查看原文
其他

违背信任!Linus 回应“拉黑”事件

IT服务圈儿 2022-09-11

者丨郑丽媛

来源丨本文经授权转自公众号CSDN(ID:CSDNnews)


近日,明尼苏达大学被 Linux 拉黑的事情闹得沸沸扬扬,许多人对此热议不止。(详情可查看:为了写论文给 Linux “投毒”,导致整个大学都被 Linux 拉黑!

有认为涉事教授及学生“对开源不尊重”,有认为他们“吃饱了撑的”,也有人认为“这证明 LinuxPR 请求的审查的确有漏洞”。

在多种声音下,还有一群吃瓜群众“看热闹不嫌事大”:

好的,满足你们,咱们的 Linus 大神昨天真的回应此事了!


01


违背了信任


或许是 Linus 的火爆脾气实在令人难忘,也或许是听到了吃瓜群众们深切的呼唤,昨日外媒 IT Wire 就明尼苏达大学偷偷往 Linux 引入漏洞一事询问了 Linus 的看法。

不过,那些隐隐期待 Linus 口出“金句”的吃瓜群众可能要感到失望了。

Linus 并没有强烈地“喷”这件事,而是很平静的回应道:“我不认为从技术上讲这是什么大事,但让人们很生气,因为这显然违背了开发者之间信任。

的确,在任何开源社区中,这都是一个巨大的禁忌:开源作者把项目开源已经不易,日常的维护工作也不轻松,可有人为了做实验故意多次提交带有漏洞的恶意补丁,就为了看开源维护者将如何应对?尤其在规模庞大的 Linux 内核社区中,程序员之间的信任更是开发过程中至关重要的一部分。

因此 Linux 内核维护者 Greg Kroah-Hartman 认为明尼苏达大学故意反复向 Linux 内核注入漏洞的行为“不可接受,完全不道德”。正如他所说,““Linux 内核开发人员不喜欢被试验,我们还有许多实际工作要做。”

Linus 也表示对这种反复提交已知漏洞的做法感到不满:“这很烦人,因为大部分的补丁是有用的(通常不是“无用”或者“故意提交恶意代码”),所以从根本上来说,这就是在浪费人们的时间。


02


涉事教授:Aditya 不是故意犯错的


由于这件事影响恶劣,因此涉事教授 Kangjie Lu 也进行了回应。

在面对质问时,Kangjie Lu 在推特上回应称:

“对于您的担忧,我们深表歉意。我知道社区为什么对此不满。但关于 hypocrite commits 的项目 2020 年 11 月就完全结束了,而 Aditya 正在着手一个在补丁中找漏洞的新项目,他不是故意犯错的。”

除了在推特上进行了简短的回应,在 Kangjie Lu 的个人主页上,可以看见《论通过假意提交代码在开源软件中偷偷引入漏洞的可行性》这篇论文下有 2 行加粗的标注:

这个实验没有在 OSS 中引入任何漏洞或引入漏洞提交。它以一种安全的方式展示了修复漏洞中的缺陷。没有用户受到影响,并且这项实验获得了 IRB 的批准,实际上还修复了 3 个真正的漏洞。”

Kangjie Lu 还主张,这项实验所涉及到的漏洞补丁并没有真正进入代码,只是停留在了email 里,而正巧 Aditya 在进行另一个新项目时,向 Linux 提交的补丁不小心出现了错误,但有过提交补丁经验的人都知道,出错是在所难免的,可 Linux 内核维护者却将这两个项目相联系,所以才发生了现在的事情。

关于论文实验中的恶意补丁到底有没有进入真正 Linux 内核这件事先按下不表,Kangjie Lu曾经在面对“该项目是否会浪费管理员精力”的提问时,他的回答是:“会。”

即 Kangjie Lu 他们明知这项实验会浪费 Linux 内核维护者本就忙碌的时间,还是进行了这个实验。可这项实验又何尝不是利用 Linux 开源工作者的热情与义务,变相地压榨他们的工作呢?并且看 Linux 那边的态度,事先对这项实验也并不知情。

最后,对明尼苏达大学来说,想把自己“拉出 Linux 黑名单”最有效的解决方法,或许就是让Kangjie Lu 他们给出论文实验中引入漏洞的补丁是用哪些邮箱提交的(据悉,Kangjie Lu 在实验中提交补丁时用的并非是 @umn.edu 邮箱,而是随机的 gmail 邮箱),以便证实带有漏洞的补丁的确未进入 Linux 内核,或者方便 Linux 社区快速定位漏洞,而不用将所有明尼苏达大学之前提交的代码一一排查。

不过,归根结底,这项实验还是有点“钓鱼执法”那味儿了,而且比起说它是一项研究代码的实验,可能“人类研究(human research)”更适合它的定位,因为这项实验的最初,就是在围绕“如果向开源软件以提交代码的方式注入漏洞,开源社区将如何处理”这个主题进行的,而开源社区——是由人组成的。

对此,你有什么看法吗?

参考链接:

https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html

https://twitter.com/kengiter/with_replies


1、卧槽,硬盘价格暴跌2000,又能买得起了

2、只需 3kbps 就能清晰通话,Google 又一音频神器开源!

3、Chrome 的小恐龙游戏,被我破解了...

4、一个诡异的MySQL查询超时问题,居然隐藏着存在了两年的BUG

识别关注我们

了解更多精彩内容

点分享

点点赞

点在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存