首页
学习
活动
专区
工具
TVP
发布

Linux 内核社区回顾明尼苏达大学事件|观点

导读:在这一事件被解决的几个月之后,2021 年的维护者峰会重新审视了这一问题,看看是否有什么可以从中吸取的教训。

本文字数:1312,阅读时长大约:2分钟

今年早些时候,一个由明尼苏达大学(UMN)研究人员发送的“坏补丁”在内核开发社区内引发了一场危机lwn.net,因为当时人们知道了 UMN 有一些补丁(不是这一个)是在尝试故意在内核中插入漏洞。在这一事件被解决的几个月之后,2021 年的维护者峰会重新审视了这一问题,看看是否有什么可以从中吸取的教训。

最近,UMN 已经联系了内核开发者,询问如何才能重新开始参与内核社区的工作。Kroah-Hartman 已经让他们与一位内核开发者取得联系,由他来给他们提供指导。他正在写一份关于研究小组应该如何与开发社区合作的文件,答应在周末发布这个草案。

Kees Cook 指出,UMN 社区很大,已经有很多贡献者都与其有关。4 月份的时候出现的是两个问题:UMN 的代码质量普遍偏低,以及有一位开发者的错误行为。他说,其实那个行为者也不是真正出于恶意,“仅仅是不懂而已”,但 UMN 中没有人能及时发现他的做法。Kroah-Hartman 说,这个插曲提醒了很多人:我们很幸运,因为我们可以抓住了这个问题。他还为对 UMN 的研究人员的怒吼表示了道歉。他说,他每年总会有一次控制不住自己的怒火,而今年就是这个时候了。

Ted Ts'o 说,大家聚在一起应该要考虑那些更加普遍的代码质量问题,以及要考虑清楚在代码提交之前和之后需要对安全给予多大程度的关注。他提到在刚刚合并的 ksmbd 文件服务器中发现了一系列各种类型的安全问题,显然,在这个话题蔓延lwn.net到 linux-kernel 邮件列表之前,这些问题已经在私下里讨论了一段时间。他说:“我们仍在继续将安全漏洞引入内核,这一点似乎不太可能改变”。

Kroah-Hartman 随后声称自己写的安全漏洞比任何人都多。通常来说,核心开发者要对内核中的大部分安全问题负责。他说,我们都是 “已知的善意参与者,却意外地写出了有破坏性的东西”。Cook 表示同意,错误的产生几乎完全是 “根据体量来的”,也就是说,开发人员写的代码越多,他们产生的错误就越多。

Ts'o 试图将话题带回到恶意行为者身上,他指出 UMN 的开发者在试图向内核添加漏洞方面的做法 “并不聪明”。但如果有更聪明隐蔽的恶意行为者怎么办呢?他说,唯一的解决办法是用更好的工具来尝试检测安全问题。Kroah-Hartman 在会议结束时说,社区必须要能够更好地捕捉我们创造出来的所有 bug,而不用去管它们是否是故意的。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20211220A07TG300?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券