网易首页 > 网易号 > 正文 申请入驻

华人学者往Linux内核里提交bug,社区把整个明尼苏达大学拉黑了

0
分享至

  

梦晨 萧箫 发自 凹非寺
量子位 报道 | 公众号 QbitAI

  Linux内核的维护者Greg K-H,突然把整个明尼苏达大学拉黑了!

  

  这是咋回事?

  原来明尼苏达大学华人教授K.J Lu带领的团队在向Linux内核提交补丁时,故意引入新的Bug,然后以此写论文。

  在被警告过一次之后,最近竟然有这个大学的学生提交明显无效的补丁。

  要知道,Greg每天要审查几百个代码提交,忙得要死,中间还发现捣乱的,得是什么心情。

  Greg表示,随便一个懂点C语言的人都能看出你这代码没丁点作用,别拿我们当试验对象。

  

你和你的团队已经公开承认故意提交bug来观察开源社区的反应,以此发表论文。现在你们又提交一系列明显错误的补丁,你叫我怎么想?

  Greg放下狠话,未来任何来自umn.edu邮箱的提交都应被默认拒绝

  

  不仅如此,Greg一口气把来自这个学校邮箱的历史提交都撤销了,后面再挨个审查。

  

  此事被Greg挂出,整个开源社区立即炸开了锅。Twitter、Reddit、Hacker News都在疯狂盖楼中。

  

  

  究竟发生了什么?这个故事要从去年11月说起。

  这个团队到底要搞什么?

  先看看这篇论文的标题:论通过伪君子式代码提交 (Hypocrite Commits)在开源软件中隐蔽地引入漏洞的可行性。

  

  作者是Lu教授和他的学生Q.S Wu,他们的研究方向是操作系统、程序分析、编译器的安全问题。

  Lu教授去年11月把这篇论文的摘要发在了Twitter上,引起了大家的困惑。

  

  随后摘要被删了,只留下一个解释。

  

  Lu教授的说法是,他们先找到一个真实的Bug A,写一个补丁A,这个补丁中却悄悄带一个Bug B。再写一个修复Bug B的补丁B一起提交,换句话说是用了两个步骤修复Bug A。

  

  Lu教授还声称,他们将此事告知了内核管理者,让他们要么同时接受两个补丁,要么都不接受。

  并且没有Linux用户因此受到伤害,最终结果是他们提交了一系列补丁修复了3个真实Bug(中间引入的新Bug都被后续补丁修复了)。

  后来看到的吃瓜群众表示,你这把帖删了就留个解释,让人更迷惑了。

  

  于是,该研究团队在12月写了一篇完整声明来澄清这件事。

  声明中提到,论文的目的是提高开源软件修补过程的安全性,已被IEEE S&P 2021接受。

  该团队在为Linux内核修复1000多个bug的过程中观察到了补丁过程存在一些问题。

  论文验证了在提交补丁中引入新的Bug,并被开源社区接受的可能性。想呼吁大家重视这个问题、改善补丁的流程,比如开发自动测试和验证补丁有效性的工具。

  所有引入Bug的补丁都只停留在邮件列表交流中,没有被采用或合并到任何Linux分支中,这一点得到了社区维护者的明确确认。

  

  总之是为了提高开源软件安全性,没有恶意。由于没有解释清楚造成了许多争议,向大家道歉。

  这种研究不可避免地浪费了社区维护者宝贵的时间,为了弥补,团队把补丁的代码改动限制在5行,并努力找出并修复了3个真实的bug。

  

  声明中还举了之前的例子,该团队在2013年证明苹果公司的应用审查过程存在缺陷,随后苹果公司加固了系统。因此该团队相信本次研究最终也能提高Linux内核的安全性。

  

  最关键的是,这项研究已经得到了明尼苏达大学伦理审查委员会(IRB)的豁免(Exempt)。

  IRB认为,研究对象不是人类行为,不属于人类研究(Human Research)。

  研究过程中没有收集任何个人信息。

  研究目的是揭示过程中存在的问题,而不是指责任何开源社区维护者。

  但这篇论文,为何会导致社区将明尼苏达大学拉黑呢?

  为什么社区要拉黑他们?

  时间来到今年4月。

  4月6号,明尼苏达大学一个名为Aditya Pakki的在读博士生,给Linux内核提交了一个小补丁。

  

  这个补丁看起来很简单,似乎也能提高代码质量,起初曾获得了几个社区成员的批准。

  

  然而,4月9日,谷歌首席软件工程师、社区成员之一Eric Dumazet很快发现不对,并指出了代码存在的问题。

  

  4月19日,Linux内核社区的贡献者之一Al Viro在看过代码后,非常生气,表示这个补丁的提交者“不是对代码一窍不通的话,就是故意的。”

  

  之所以会做出这样的判断,是因为这名提交代码的博士生Aditya Pakki,恰好也在明尼苏达大学K.J Lu教授的小组中。

  而K.J Lu教授带领的团队,正是之前给Linux内核社区提交过“垃圾代码”、来进行“分析开源软件漏洞”研究的团队。

  这事一出,社区成员Leon Romanovsky发现,这位博士还提交了3个类似的补丁。

  

  他表示,这四个补丁均带有严重的安全漏洞,其中好些已经进入了核心代码层。

  

  现在,这些补丁正在被移除。

  对此,Aditya Pakki在4月21号回应此事,表示研究人员的态度明显是“先入为主”:

  

希望您能停止这样近乎疯狂的指控,这近乎于诽谤。我们并不是Linux内核专家,在发送这些补丁时,也希望得到反馈……既然你们如此不待见,我不会再发送任何补丁了,而且,你们这种态度对新人和非专业人士很不友好。

  

  这番言论惹怒了Linux内核管理员Greg。

  他表示,自己将会禁止明尼苏达大学对Linux内核做出贡献,并会取消这一研究小组此前所有的贡献,因为这些提交“显然都是恶意的行为”。

  Greg在社交媒体上表示:“这样做是浪费开源社区的时间,Linux内核开发者们不喜欢被试验。”

  

  那么,为什么要拉黑整个明尼苏达大学呢?

  社区认为,明尼苏达大学竟然会让这种研究获得IRB Exempt,证明学校并不在乎开源社区、甚至可能是故意的。

  现在,明尼苏达大学计算机科学与工程系官方已出面调查此事:

  

我们立即暂停了这项研究,目前正在调查这项研究所用的方法、以及研究的审批过程,以采取适当补救措施,防止将来发生其他问题。调查结果将尽快反馈给社区。

  

  具体来说,将会重新调查这一研究获得IRB的过程,是否具有争议。

  教授回应:并非同一项目

  目前,K.J Lu教授已经针对此事进行回应:

  

抱歉这件事引起了极大的关注度,上次有关“分析开源软件漏洞”的研究,已在2020年11月份结束。这次提交的错误代码,来自一个新项目,并非我们有意为之。

  

  针对这件事本身,高级Linux内核开发、谷歌工程师Ted t’so认为,这里面最关键的问题在于,Lu教授和他的团队并未对自己此前的研究表示愧疚:

  

更糟糕的是,明尼苏达大学的IRB机构认为,Lu教授的研究不属于人体试验,因此不受控制。这样的话,禁止全校对Linux内核社区做贡献,可能是唯一的选择。

  据ZDNet报道,不少Linux社区的开发者和管理员,都持有这样的看法。

  针对教授研究的内容本身,Red Hat的科技策略分析师Jered Floyd则认为,关于“分析开源软件漏洞”的这项研究,确实“不太道德”:

  

这已经不仅仅是“被试验”了。就像是你自称“安全研究员”,但却去百货商店里剪断了所有汽车的刹车线,看看有多少人会遇上撞车事故。

  

  针对大学的机制,也有网友表示,部分大学的IRB审查机制,还应该进一步完善:

  

有的学校审查机制真的很严格,有的却根本不太管这些事情。

  

  当然,也有网友认为,Linux也应该采取更安全的方式进行代码贡献:

  

在这件事情中,双方都应该汲取教训。

  

  争议论文:
https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

  对论文的声明:
https://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf

  参考链接:
[1]https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021
[2]https://www.zdnet.com/article/greg-kroah-hartman-bans-university-of-minnesota-from-linux-development-for-deliberately-buggy-patches/
[3]https://news.ycombinator.com/item?id=26887670
[4]https://lore.kernel.org/linux-nfs/YH%2FfM%2FTsbmcZzwnX@kroah.com/

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐

为什么说长安CS75 PLUS是年轻人的理想座驾?

汽车维基
2021-05-14 19:39:17

推特调查:询问网友在今天是更愿意成为巴勒斯坦人还是维吾尔族人

环球时报评论
2021-05-15 11:11:17

李冰冰情史录,她为什么现在还单身?

娱人为乐
2021-05-15 01:19:59

十岁男孩救倒地老人反被讹?警方:男孩负事故全部责任

北青网-北京青年报
2021-05-15 10:49:06

中国富豪娶泰国“人妖皇后”,长相酷似Angelababy,他太牛了!

周冲的影像声色
2021-05-15 12:10:30

心酸!武汉大哥独自喝酒,五味杂陈,邻桌点20份烧烤悄悄相送

我们的光
2021-05-14 15:13:00

44岁王力宏近照曝光堪比“毁容”,开二手车、穿破洞袜,他到底经历了什么?

十点读书
2021-05-15 11:25:25

河南周口:医院门口有人扔钱“借阳寿”,200元借你10天寿命

余年
2021-05-14 16:22:01

内塔尼亚胡宣读战书!最后一句誓言震撼人心,台下响起长时间掌声

野生胡萝卜呦
2021-05-15 10:01:48

“巩女皇”的豪放情史,张艺谋只是开胃前点

老管说史
2021-05-15 11:46:31

近20分钟的《新闻联播》头条,有重磅信号

政知新媒体
2021-05-15 09:39:35

“冻龄老爸”火了,接女儿放学被拦,老师解释:还以为孩子早恋了

宝妈晋升记
2021-05-15 10:04:09

中国最大“卖官”案,市委书记与姐妹三人发生关系,受贿600万

我们的百变生活
2021-05-13 21:52:12

吴昕再次大哭,惹刘雯崩溃:中国式“巨婴”,逼疯了多少人

微梦白昼
2021-05-14 14:42:22

果然,新冠疫苗的“副作用”出现了……

华哥视界
2021-05-14 21:41:34

“儿子就是你的,可以做亲子鉴定”6年的猜忌,可结果令众人崩溃

仙仙先生
2021-05-14 14:55:16

这是一个相当危险的信号,战争方式正在发生重大变化!

牛弹琴
2021-05-15 09:14:23

男子高速路上制造大型车祸现场,网友集体声讨:永久取消驾照!

南国今报
2021-05-15 10:19:03

哈马斯高级领导人:哈马斯可以停火 但以色列必须先停止“侵略”

今日新讯
2021-05-15 13:03:10

我国天问一号明明比美国提前7天发射,为何却落后86天着陆火星?

钟铭聊科学
2021-05-15 09:41:50
2021-05-15 14:25:07
量子位
量子位
追踪人工智能动态
4894文章数 106582关注度
往期回顾 全部

科技要闻

骄傲!祝融号成功着陆 五星红旗闪耀火星

头条要闻

巴以冲突哈马斯摸到以色列核基地 还有更让人忧心的事

头条要闻

16岁女孩做"福利姬"两三年:拉窗帘背着父母拍照

体育要闻

天赋!胖虎转型打控卫 首战数据就炸裂

娱乐要闻

金晨穿裸色抹胸裙秀天鹅颈 锁骨迷人

财经要闻

汽车要闻

将搭载两种动力 全新奔腾70S实车曝光

态度原创

本地
教育
时尚
房产
公开课

本地新闻

男生为什么都喜欢王冰冰?

教育要闻

去深圳当中小学老师的硕博高材生们,有一些已经开始后悔了

某内衣品牌逐渐重口味?竟然选了她

房产要闻

成也价格,败也价格?亚运城连长岭居都没跑赢!

公开课

我拍了2000个流水线生产不出的美人