专栏首页人人都是极客Linus 回应“拉黑”事件:触犯禁忌,违背信任!

Linus 回应“拉黑”事件:触犯禁忌,违背信任!

事件回溯

今年 2 月,来自美国明尼苏达大学的研究者 Qiushi Wu 和 Kangjie Lu 发布了一篇研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,旨在分析开源项目的安全性。为了做研究,他们向一些开源项目提交了一些有 BUG 的代码,其中 Linux 内核正是他们的主要实验「场地」。

这项研究在去年进行,当时提交的代码似乎并未引起安全漏洞,有一些甚至被成功合并入 Linux 内核树。

2 月份相关研究论文发布后,明尼苏达大学研究者想继续提交由「新型静态分析器」创建的 patch。

4 月 21 日,Linux 内核管理员 Greg Kroah-Hartman 在与明尼苏达人员沟通的邮件中表示:

“您和您的团队此前提交了有 bug 的代码,以观察 Linux 内核社区的反应,并据此发表了一篇论文。现在,您想提交新的一批有问题代码,这些代码显然并非静态分析工具创建而成。 ”

Greg 表示:「Linux 社区欢迎有意愿帮助 Linux 的开发者,但不希望成为试验场,接受无益代码或有 BUG 代码的『测试』。…… 因此,我必须禁止明尼苏达大学未来所有的贡献,并将您之前的贡献全部撤销。」

随后,Greg 在一封电子邮件中表示:来自 @umn.edu 邮件地址的代码提交被认为是「恶意提交」。因此,这一团队向 Linux 内核树提交的所有代码将被恢复原状,并进行重新 review,以确定得到有效修复。

Linus 表示不满

Linus 的火爆脾气相信大家都了解,此事件本身就热度不低,再加上 Linus 的自带标签,外媒 IT Wire 就“明尼苏达大学偷偷往 Linux 引入漏洞”一事采访了 Linus 的看法。

但这次 Linus 并没有就此事展开激烈的回应,他只是很平静的回应道:

“从技术上讲我并不觉得这是什么大事,但这让人们很生气,因为这显然违背了开发者之间的信任。”

Linus 说的没错,因为在开源社区中,有一个大家共通的禁忌:

开源作者将项目开源已经是个很艰巨的工作了,而且日常的维护工作也并不轻松,但却有人为了做实验故意多次提交带有漏洞的恶意补丁,而此举动的目的竟然只是为了看开源维护者如何应对。

Linux 庞大的内核社区的规模,更是让程序员之间的信任成为了开发过程中至关重要的一部分。

因此 Linus 对此表示不满:

“这很让人讨厌,因为大部分的补丁是有用的(通常补丁不是”无用的”或者“故意提交恶意代码”),所以从根本上来说,这种行为就是在浪费大家的时间。”

涉事教授:Aditya 并非故意

此事件的影响已经超出预期,所以当面对质问时,涉事教授 Kangjie Lu 在推特上回应道:

““我们对于您的担忧深表歉意,我明白社区为什么会对此不满,但关于 hypocrite commits 的项目早在 2020 年 11 月就完全结束了,而 Aditya 正在着手于一个在补丁中找漏洞的新项目,他并不是故意犯错的。” ”

除此之外,在 Kangjie Lu的个人主页上,我们可以看见《论通过假意提交代码在开源软件中偷偷引入漏洞的可行性》这篇论文下有 2 行加粗的标注:

“这个实验没有在 OSS 中引入任何漏洞或引入漏洞提交。它以一种安全的方式展示了修复漏洞中的缺陷。没有用户受到影响,并且这项实验获得了 IRB 的批准,而它实际上还修复了 3 个真正的漏洞。”

Kangjie Lu 还补充道:这项实验所涉及到的漏洞补丁并没有真正进入代码,它只停留在了 email 里。而正巧 Aditya 在进行另一个新项目时,向 Linux 提交的补丁不小心出现了错误。

有过提交补丁经验的人都知道,出错是在所难免的,可Linux 内核维护者却将这两个项目相联系,所以才导致了现在的局面。

并且,Kangjie Lu 曾经在被问到“该项目是否会浪费管理员精力”时,他的回答是:“会。”

所以他们明知这项实验会浪费 Linux 内核维护者本就不充裕的时间,却还是进行了这个实验。可这项实验又何尝不是利用 Linux 开源工作者的热情与义务,变相向他们增负呢?

参考链接:

https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html

https://twitter.com/kengiter/with_replies

本文分享自微信公众号 - 人人都是极客(rrgeek)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-04-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 腾讯云社区协议政策

    为了创建更好的社区氛围,腾讯云技术社区制定内容规范政策,维护社区的和谐氛围。本社区提供的网络服务中包含的标识、版面设计、排版方式、文本、图片、图形等均受著作权、...

    云加创业小助手
  • 消费者成为受害者,谁给了特斯拉这样的勇气?

    特斯拉近日突陷舆论旋涡。据相关媒体报道,有消费者表示此前在拼多多团购的特斯拉,到了最后提车环节却被特斯拉强行取消订单,特斯拉方面给出的理由是该订单存在转卖行为,...

    刘旷
  • 中国爬虫违法违规案例汇总!

    最近在 GitHub 发现了一个爬虫库,这个库整理了所有中国大陆爬虫开发者涉诉与违规相关的新闻、资料与法律法规。

    小小詹同学
  • 中国爬虫违法违规案例汇总!

    最近在 GitHub 发现了一个爬虫库,这个库整理了所有中国大陆爬虫开发者涉诉与违规相关的新闻、资料与法律法规。

    龙哥
  • 电影道具机器人Robby拍出537.5万美元天价

    据英国《每日邮报》报道,1956年的科幻电影《禁忌星球》(The Forbidden Planet)中的机器人Robby近日被成功拍出,537.5万美元的天价打...

    机器人网
  • 中国爬虫违法违规案例汇总!

    https://github.com/HiddenStrawberry/Crawler_Illegal_Cases_In_China

    Python数据科学
  • 马斯克「藐视法庭」遭证监会起诉,恐被禁止经营一切上市公司

    当地时间 2 月 19 日(北京时间 20 日),马斯克发推特称,4000 辆特斯拉在旧金山装载运往欧洲。随后又补充道「2011 年,特斯拉一辆车都没生产,但 ...

    机器之心
  • 中国爬虫生存指南:违法违规案例汇总!

    最近在 GitHub 发现了一个爬虫库,这个库整理了所有中国大陆爬虫开发者涉诉与违规相关的新闻、资料与法律法规。

    良月柒
  • 网络爬虫的注意事项

    我今天要说的是关于爬虫的合法性,我希望通过一些案例来探讨:怎样做一个不触碰红线的爬虫开发者。

    华章科技

扫码关注云+社区

领取腾讯云代金券