Linux補丁門后繼:明尼蘇達大學與Linux社區打破僵局
近日,明尼蘇達大學盧康杰教授的研究團隊對Linux內核安全補丁審核流程進行“義務滲透測試”,結果該校被Linux社區“永久封禁”,在安全業界掀起軒然大波,由于該事件涉及華人學者和安全研究倫理,引來不少專業性不強但誤導性和煽動性很強的科普自媒體熱炒,例如此類流量標題:“華人學者往Linux內核提交bug,社區把整個明尼蘇達大學拉黑了”。
1. “夫妻檔”把守萬億美元開源經濟安全
安全牛認為,明尼蘇達大學在“用補丁bug幫Linux挖掘流程bug”事件中扮演的角色,無非就是皇帝的新裝中的那個“不懂事”的小孩。作為曾提交過近200個Linux內核有效補丁的Linux內核代碼安全頂級專家,盧康杰教授為何“突發奇想”,決定跳出代碼范疇測試一下流程bug?
事實上,作為萬億美元開源經濟基石的Linux,其“安全債務”遠比明尼蘇達大學暴露出的補丁審核流程缺陷要嚴重和可怕得多。
根據安全牛此前的報道,直到今年2月份獲得Google資助,偌大一個Linux社區才首次擁有了兩位全職網絡安全人員(一對夫妻)。換而言之,Linux社區此前壓根沒有專職安全人員,所有的安全工作都是開發人員兼職。
Linux社區斥責明尼蘇達大學的安全研究團隊浪費了Linux安全人員的時間,那么我們來看看Linux的“夫妻檔”和“兼職人員”的時間為什么會這么金貴。
根據Linux開源安全基金會(OpenSSF)與哈佛大學創新科學實驗室(LISH)今年一季度合作發布的報告,Linux的開發維護人員約有2萬人,其中很多人口頭上對安全有些興趣,但實際投入(時間)極少。而宣布拉黑明尼蘇達大學的Linux內核維護者Greg Kroah-Hartman之所以暴跳如雷,是因為“Linux高級內核開發人員每天要審核幾百個代碼提交,忙得要命”。顯然,對于高級攻擊者而言,這種抱怨本身就是一個大bug。
調查顯示,盡管三分之二的Linux開發維護人員都意識到補丁修復程序是Linux安全的頭號威脅,但是,只有2.3%的受訪開發人員表示愿意花時間在與安全有關的活動上。更多的開發人表示,他們希望在持續集成流程中添加與安全性相關的工具(25%)、以及提供安全開發相關免費課程(18%)。
總而言之,毫不夸張地說,在軟件供應鏈和開源安全威脅快速增長的今天,Linux開源社區嚴重匱乏的安全資源、糟糕的安全實踐和安全策略已經成為數字化時代全人類的一顆“核地雷”。
Linux補丁門事件無論結果如何,對開源軟件安全研究和Linux開源社區的安全建設都會有著深遠影響。
2. 明尼蘇達大學與Linux社區重啟對話
根據最新消息,明尼蘇達大學和Linux社區已經重新展開對話和協商,僵局有望得到化解。
上周末Linux基金會高級副總裁兼項目總經理Mike Dolan給明尼蘇達大學寫信提出重獲信任的要求,這些要求包括Linux社區要求研究人員Qiqi Wu和Aditya Pakki、以及他們的研究生顧問盧康杰為Linux內核補丁的錯誤道歉并采取具體措施:
如您所知,Linux基金會和Linux基金會的技術顧問委員會已于上周五向您的大學致信,概述了為了使您的小組和您的大學能夠重新獲得對基金會的信任而需要采取的具體措施。
這些具體措施包括:
盡快向公眾提供識別明尼蘇達大學實驗提交的漏洞代碼相關的識別信息。該信息應包括每個目標軟件的名稱、提交信息、提交者的名稱、電子郵件地址、日期時間、主題和代碼,以便所有軟件開發人員可以快速識別此類代碼并可能采取補救措施。
UMN教授兼計算機科學與工程學系系主任Mats Heimdahl回信接受處理結果,他表示學校對Linux基金會的要求表示贊賞,他們期待達成“共同滿意的解決方案”,彼此重新接觸。郵件原文如下:
目前,我們正在考慮您的要求,并會盡快采取行動,以針對您的要求做出實質性回應。特別是,該安全研究小組正在準備致Linux社區的一封信,我們目前正試圖獲得同意,以公布該小組有關代碼提交的所有信息。一旦我們有機會研究剩余的問題,我們將很高興有機會與您見面討論并向前邁進。
Dolan還代表Linux開發人員社區要求盧康杰研究團隊撤回IEEE論文:“關于通過Hypocrite Commits項目在開源軟件中引入漏洞的可行性論文之所以被要求撤回,是因為研究人員Wu Qiushi和Aditya Pakki及其研究生顧問盧康杰教授在未經許可的情況下對Linux內核維護者進行了試驗。因此,應撤回該論文。”
對此,盧康杰教授在公開聲明表示已經撤回原定在第42屆IEEE安全與隱私研討會上發表的論文“關于通過偽造補丁秘密引入開源軟件漏洞的可行性”。
盧康杰表示撤回的原因有兩個:
- 首先,我們在進行研究之前沒有與Linux內核社區合作而犯了一個錯誤。我們現在知道,使其成為我們的研究主題,并在未經其知情或許可的情況下浪費精力來審查這些補丁對社區是不適當的,而且是一種傷害。我們現在意識到,進行此類工作的適當方法是事先與社區負責人進行接觸,以便他們了解工作,批準(研究項目的)目標和方法,并在工作完成和完成后能夠支持方法和結果再發表。因此,我們撤回該論文,以使我們不會從不當的研究中受益。
- 其次,鑒于我們方法的缺陷,我們不希望本論文成為如何在Linux社區中進行類似研究的模型。相反,我們希望這一事件對我的社區來說是一個學習的時刻,由此產生的討論和建議可以作為將來進行適當研究的指南。因此,我們撤回該論文是為了防止我們誤導的研究方法被視為將來進行研究的模型。對于我們的研究小組對Linux內核社區、IEEE安全與隱私研討會、我們的部門和大學以及整個社區的聲譽所造成的任何傷害,我們深表歉意。
根據Heimdahl和盧康杰的公開信,似乎明尼蘇達大學已同意Linux 基金會的主要要求,但仍有許多細節問題需要解決。但至少目前看來,明尼蘇達大學、Linux基金會和Linux內核開發人員社區已經“重啟和談”,這意味著將來明尼蘇達大學可以(在符合約定或規范的前提下)重新進行類似研究,而Linux內核維護人員也可以不用擔心被虛假補丁浪費寶貴的工作時間。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
