作者 | 褚杏娟

“即使你可以提供證據證明那些補丁是有效的，但為什么事實上我們卻是在浪費時間做額外的工作?”

Linus Torvalds 應該要氣炸了。

近日，Linux 內核穩定分支的維護者 Greg Kroah-Hartman 將美國明尼蘇達大學（UMN）拉入了“黑名單”，禁止其向主線 Linux 內核提交補丁，原因是 UMN 故意提交有安全影響的可疑代碼，并以研究的名義進行其他“實驗”。

?

1 并非第一次引起爭議

前段時間，明尼蘇達大學計算機科學與工程專業的博士生 Qiushi Wu（本科為中國科學技術大學）和該學院的助理教授 Kangjie Lu（本科為北京大學）撰寫了一篇旨在提高 OSS 中修補過程安全性的論文，題為“On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits”。

據悉，Qiushi Wu 在 2018 年獲得了中國科學技術大學信息科學與工程系的學士學位，研究方向是程序分析技術在 Linux 內核等操作系統上的應用。Qiushi Wu 在今年 2 月份將上述論文上傳到 GitHub 上（目前已經刪除），并計劃在 5 月份舉行的第 42 屆 IEEE 安全與隱私研討會上針對該論文進行討論。

該論文探索了在開源項目的補丁程序中藏匿安全漏洞的可能性，希望指導維護團隊更科學地衡量此類補丁、正確做出合并判斷。

在研究中，研究團隊用實驗來演示引入漏洞補丁的實用性，該行為被認為會在操作系統軟件中引入錯誤條件。而且在論文中，他們公開了將漏洞插入 Linux 內核及其他開源項目的可行方法，并表示向各類開源項目的漏洞植入成功率已經接近 60%。這些在當時就引發了很大的安全爭議。

對此，Qiushi Wu 在去年 12 月 15 日也做出了解釋。“我們沒有也不打算在 Linux 內核中引入任何錯誤或漏洞。所有引入錯誤的補丁只在電子郵件交流中保留，并沒有被采用或合并到任何 Linux 分支中，這是由維護者明確確認的。因此，在任何 Linux 分支中，郵件中引入錯誤的補丁甚至都沒有變成 Git 提交。沒有 Linux 用戶會受到影響。”

同時，Qiushi Wu 也表示，該實驗已通過了 UMN 的機構審查委員會（IRB）審查，該委員會確定該項目不涉及人類研究，因此沒有再進行倫理審查。

但最近，明尼蘇達大學的研究人員又提交了新一輪的補丁，這些補丁聲稱來自“一個新的靜態分析器”，這引起了 Greg 的反感，并將整個明尼蘇達大學拉入黑名單。

“我一直想這么做，但最近的事件終于迫使我這么做了。”Greg 表示。對此，明尼蘇達大學計算機科學與工程專業博士生 Aditya Pakki 表示很氣憤，并向 Greg 發郵件表示：

Greg，我謹請你停止這些誹謗性的野蠻指控。

這些補丁是作為我編寫的新靜態分析器的一部分發送的，顯然它的靈敏度不高。我提交了補丁，希望能得到反饋。我們不是 Linux 內核方面的專家，但（你）反復發表這些聲明令人討厭。

這顯然是一個錯誤的步驟，但是你先入為主的偏見如此強烈，以至于你提出的指控毫無根據，也沒有帶來任何正向、有益的反饋。由于不但不受歡迎而且還會嚇到新手和非專家，因此我將不再提交補丁。

而 Greg 也在回復的電子郵件中強調，錯在明尼蘇達大學，社區不是其測試對象：

你和你的團隊已經公開承認發送了已知的錯誤補丁，以查看內核社區對它們的反應，并基于此發表了一篇論文。

現在你又提交了一系列明顯錯誤的補丁，我該怎么看待這件事情呢?

這些補丁顯然不是由任何一個有智能的靜態分析工具創建的，因為它們都是完全不同的模式的結果，而且所有這些顯然都沒有修復任何東西。那么，除了你和你的團隊繼續通過提交這種毫無意義的補丁來對內核社區的開發者進行試驗之外，我還能想到什么？

任何對 C 語言有一定了解的人，用點時間都可以看出來你們提交的補丁根本沒有任何作用，所以認為一個工具創造了這些補丁，然后你認為它們是有效的 "修復"，這完全是你們的疏忽，不是我們的。錯在你們，我們的工作不是成為你創造的工具的測試對象。

我們社區不喜歡被試驗，也不喜歡通過提交已知的補丁被“測試”，這些補丁要么是故意不做什么，要么是故意引入 bug。如果你想做這樣的研究，我建議你找其他社區，你在這里是不受歡迎的。

因此，我現在不得不禁止你的大學今后的所有貢獻，并剔除掉你以前的貢獻，因為它們顯然是以惡意的方式提交的，目的是造成問題。

在此之后，UMN 計算機科學官方也通過 Twitter 發布了以下聲明，表示該研究項目已被暫停，并計劃調查該項目的批準程序，以確定是否需要采取補救措施和可能的保障措施。

今天，明尼蘇達大學計算機科學與工程學系的領導了解到一位教職員工和研究生正在研究 Linux 內核的安全性的詳細信息。由于所使用的研究方法引起了 Linux 內核社區的強烈關注，導致截至目前為止本大學被禁止為 Linux Kernel 做出任何貢獻。

我們對此非常重視，并立即中止了這一研究。我們將對該研究的方法和批準流程做相應的調查，確定適當的補救措施，并在需要時采取措施防止未來可能發生的問題。我們會盡快將調查結果報告給社區。

Mats Heimdahl，部門主管

Loren Terveen，部門副主管

?

2 浪費社區時間還是有價值的研究？

Linux 內核是迄今為止規模最大的軟件開發項目之一，目前其代碼總量已經達到 2800 余萬。Linux 內核維護團隊每天都要接受來自世界各地、不同領域的貢獻者們提交的大量補丁，并在將成果正式合并前對內容進行審核。明尼蘇達大學研究團隊的行為無疑遭到了 Linux 貢獻者和維護人員的強烈譴責。

在 Linux 內核方面擁有豐富經驗的開發人員 Leon Romanovsky 發現后立即表示要求明尼蘇達大學停止提交已知無效的補丁，“這是在浪費我們的時間。”甚至有網友表示，這篇論文故意誤導，試圖夸大其貢獻。“學術界的很多人只是為了拿到證書而已。”

位于美國波士頓的東北大學計算機科學副教授 Abhi Shelat 表示，“學術研究不應該浪費社區的時間。如果你覺得這項研究值得做，應該聯系 UMN 的機構審查委員會。”Shelat 同時敦促 Linux 社區成員向明尼蘇達大學的 IRB 提出質疑，以確定該實驗是否得到了充分的審查。

針對這點，Qiushi Wu 在之前的解釋中也表示，這項工作確實了浪費了維護人員的時間，雖然仔細考慮過這個問題，但沒有找到更好的解決方案，但團隊將通過精簡補丁等方式在努力避免該問題。

不過，也有 Linux 內核社區之外的開發人員認為，大家應該關注的是 Linux 內核代碼的安全性問題，而非研究人員的“滑稽”行為。

如果 UNM 沒有引起任何注意，它們是否會被發現？其他惡意行為者是否有做過這樣的事情而沒有被抓住？

“這似乎表明任何黑客組織或個人可以將自己的攻擊行為置于內核中。假設他們貢獻了 99.9％的有用代碼，解決了實際問題，在幾年內建立了信任，并且很少編寫難以察覺的惡意漏洞。然后，每個人都認為那些漏洞只是普通的錯誤。”

Google 密碼學和軟件工程師 Filipo Valsorda 在推特上表示，就像 Linux 內核維護者說他們無法確定補丁是否是惡意的，因此必須依靠電子郵件地址域名。比起譴責學者，是否基于確定的代碼正確性做出信任決定應該是更值得關注的問題。

盧塔安全公司 (Luta Security) 首席執行官凱蒂?穆蘇里斯 (Katie Moussouris) 也表達了類似的看法，稱這種反應是“情緒上的過度反應”，并認為這些發現從國家安全角度來看是有價值的。

經過激烈的爭論之后，Greg 現在表示，將還原該團隊提交的所有補丁，并再次進行審查來確定其是否有效。在此之前，該團隊的補丁仍會被刪除，以確保代碼庫中沒有引入任何問題。

這個補丁集有的可以“簡單”恢復，有 68 個需要手動檢查恢復，其中一些還不能被還原。在確定這些更改有效后，明尼蘇達大學研究團隊可以重新提交。

但最后，Greg 還是表示，“即使你可以提供證據證明它們是有效的，但為什么事實上我們卻是在浪費時間做額外的工作?”

延伸閱讀：

https://fosspost.org/researchers-secretly-tried-to-add-vulnerabilities-to-linux-kernel/

https://www.theregister.com/2021/04/21/minnesota_linux_flaws/

有道無術，術可成；有術無道，止于術

歡迎大家關注Java之道公眾號

好文章，我在看??

總結

以上是生活随笔為你收集整理的故意向Linux内核提交漏洞被全线拉黑？华人教授行为引众怒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。