今年 2 月,来自美国明尼苏达大学的研究者 Qiushi Wu 和 Kangjie Lu 发布了一篇研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities inOpen-Source Software via Hypocrite Commits》,旨在分析开源项目的安全性。为了做研究,他们向一些开源项目提交了一些有 BUG 的代码,其中 Linux 内核正是他们的主要实验「场地」。
道歉公开信内容
明尼苏达大学此次事件的相关研究人员——助理教授 Kangjie Lu 和博士生 Qiushi Wu、Aditya Pakki 发表了一封致 Linux 内核社区的公开道歉信。
公开信开篇表述称,该研究小组为其对 Linux 内核社区造成的任何伤害表示真诚的歉意。
“我们非常抱歉。Hypocrite Commits 论文中使用的方法是不恰当的。”
并表示,他们错在没有在进行研究之前先与 Linux 社区进行协商并获得许可。但信中也解释称,因为他们知道自己不能提前向 Linux 的维护者征求许可,否则就会引起维护者对这些补丁的注意,从而影响研究结果。
虽然我们的目标是提高 Linux 的安全性,但我们现在明白,让社区成为我们研究的对象,并在其不知情或未经允许的情况下浪费大家的精力审查这些补丁,是对社区的伤害。
我们只想让大家知道,我们绝不会故意伤害 Linux 内核社区,也绝不会引入安全漏洞。我们的工作是抱着最好的目的进行的,都是为了寻找和修复安全漏洞。
信中还强调称,其他来自UMN.edu 的补丁都是善意的、真诚的。
“所有其他 190 个被恢复和重新评估的补丁都是作为其他项目的一部分和对社区的服务而提交的;它们与Hypocrite Commits 事件无关。这 190 个补丁是对代码中所存在的真正的错误的回应,并且就我们所能辨别的程度而言,它们在提交的时候都是没有问题的。”
公开信最后指出,研究组成员对 Linux内核社区所需承担的额外工作感到由衷的抱歉,他们在痛苦之余也从这次事件中汲取了一些关于与开源社区研究的重要教训。“我们可以而且会做得更好,我们相信我们在未来还有很多贡献,并将努力工作以重新获得你们的信任”。
Linux 的态度
在收到公开信后,Linux 的内核维护者 Greg Kroah-Hartman 只给出了简短的回复:
“众所周知,Linux 基金会和技术顾问委员会于 4 月 23 日星期五向您的大学递交了一封信,概述了您的大学以及小组为了能够重新获得 Linux 内核社区的信任而需要采取的行动。
在你们做出行动之前,我们不会有进一步的讨论。”
Sudip Mukherjee 表明发送的这些补丁将需要一些时间才能删除,他于 4 月 21 日写信给 Kroah-Hartman,指出其中许多 bug 已经传送到了 Linux 的内核。
除此之外,他还在信中提到 “我可以在今天结束之前向您发送恢复补丁,以保持内核稳定(如果您的脚本还没有完成的话)。”
Kroah-Hartman回复道:
“是的,如果您有这些已经存在于内核中的列表,并可以让我们拥有恢复补丁的程序就很棒,这将使我们摆脱那些不得不做的额外工作。”
完整公开信地址:
https://www.oschina.net/actio...
参考链接:
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。