開源軟件由于其公開性，能夠被大量開發(fā)人員驗(yàn)證，所以一向被認(rèn)為是安全的。

[[395939]]

但即便是如「空氣」一般無所不在的linux，也不見得是完全安全的！

來自明尼蘇達(dá)大學(xué)的研究者就成功向開源社區(qū)（主要是Linux）提交了多個(gè)看似是修正補(bǔ)丁的漏洞。

這種研究方法引來Linux維護(hù)人員的憤怒，Linux 內(nèi)核社區(qū)撤銷了之前他們提交的所有 Linux 內(nèi)核代碼。除了禁止明尼蘇達(dá)大學(xué)對(duì)上游內(nèi)核的貢獻(xiàn)之外，Greg Kroah-Hartman還計(jì)劃回滾所有umn.edu的補(bǔ)丁，涉及到190個(gè)歷史補(bǔ)丁代碼。

[[395940]]

這項(xiàng)研究的主要人員Kangjie Lu, Qiushi Wu和Aditya Pakki于4月24日晚在Linux社區(qū)發(fā)表公開信，信中表示他們已經(jīng)認(rèn)識(shí)到了這項(xiàng)研究的危害性，繼續(xù)重申其他明尼蘇達(dá)大學(xué)研究人員的補(bǔ)丁是真誠無害的，和本次項(xiàng)目無關(guān)。

公開信除了道歉還有什么

信中首先表示「hypocrite commits」論文中的研究方法是不合適的，浪費(fèi)了開源社區(qū)的資源，并且沒有事先征得Linux維護(hù)人員的同意。

hypocrite commits 這項(xiàng)工作從 2020 年 8 月開始研究，主要目的是提升Linux補(bǔ)丁的安全性，這項(xiàng)研究主要的貢獻(xiàn)在于找到現(xiàn)在風(fēng)險(xiǎn)的原因并解決他們。

作者認(rèn)為這項(xiàng)工作并沒有大眾認(rèn)為的危害性：

1、沒有引入有危害的代碼。三個(gè)錯(cuò)誤的補(bǔ)丁也只是在社區(qū)中進(jìn)行討論，并且在論文發(fā)表前已經(jīng)向Linux社區(qū)報(bào)告過這些問題。

2、190個(gè)無辜的補(bǔ)丁并沒有參與到我的工作中，他們確實(shí)是為了解決linux存在的bug而提交的。

3、最新的補(bǔ)丁是2021年4月提交的，并沒有在hypocrite commits項(xiàng)目中，而是一個(gè)新的項(xiàng)目，用來自動(dòng)找到其他人提交補(bǔ)丁中的bug用的。

作者也表示在學(xué)術(shù)研究方面被「上了一課」。

最后作者希望能夠與Linux社區(qū)重建良好的關(guān)系，并且研究的出發(fā)點(diǎn)確實(shí)是想要為開源社區(qū)的安全性做貢獻(xiàn)，只是沒想到事情發(fā)展成這樣。

對(duì)于這封公開信，GKH也表示在明尼蘇達(dá)大學(xué)采取行動(dòng)之前，無需更多的討論。

為何會(huì)引發(fā)眾怒

開源項(xiàng)目的維護(hù)建立在信任的基礎(chǔ)上，開發(fā)者與維護(hù)者秉持著對(duì)程序的熱愛來開發(fā)維護(hù)。

對(duì)于Linux內(nèi)核來說，維護(hù)者相信開發(fā)者的動(dòng)機(jī)是改善Linux kernel的質(zhì)量，而開發(fā)者也需要說明自己確實(shí)是改善了內(nèi)核。

如果沒有了這種信任，那么每一次對(duì)kernel的提交都要進(jìn)行完善的安全審查，對(duì)于類似Linux kernel這樣龐大的，維護(hù)人員又不多的項(xiàng)目來說幾乎是不現(xiàn)實(shí)的。

[[395941]]

而明尼蘇達(dá)的研究項(xiàng)目在未經(jīng)他們同意的情況下，耗費(fèi)了維護(hù)人員大量的時(shí)間，只是為了證明「這種信任很脆弱」。

Linux kernel維護(hù)人員GKH警告研究人員停止提交已知無效的補(bǔ)丁，并認(rèn)為他們是在以一種玩弄評(píng)審人員的方式來完成論文。這是錯(cuò)誤的，浪費(fèi)了維護(hù)人員的時(shí)間，我們要和明尼蘇達(dá)大學(xué)報(bào)告此事。

但研究人員Aditya Pakki回應(yīng)稱「我要求你停止進(jìn)行近乎誹謗的瘋狂指責(zé)。我發(fā)送補(bǔ)丁的目的是希望得到反饋。我們不是Linux內(nèi)核方面的專家，反復(fù)發(fā)表這些言論讓人聽了很反感。顯然，這個(gè)步驟是錯(cuò)誤的，但你的先入為主的偏見是如此強(qiáng)烈，以至于你提出的指控毫無根據(jù)，也不給我們辯解（無罪推定）的任何機(jī)會(huì)。這種態(tài)度不僅不受歡迎，而且對(duì)新手和非專家也是一種恐嚇，因此我將不會(huì)再發(fā)送任何補(bǔ)丁?！?/p>

因此，這也不難理解為什么GKH如此憤怒，以至于要把明尼蘇達(dá)的所有研究人員的提交都刪除。