丰色 发自 凹非寺 量子位 报道 | 公众号 QbitAI
上周,明尼苏达大学因提交“垃圾代码”做漏洞分析,被Linux内核社区拉黑一事,在网上吵得沸沸扬扬。
很快,明尼苏达大学研究团队发表了一封很长的公开信向Linux社区,道歉了!
但Linux内核社区管理员Greg周日收到了这封信后表示:拒绝接受道歉。
Linux内核团队:先做出行动再讨论
这份道歉信的内容大概如下:
首先,他们对此次事件给Linux内核社区造成的所有伤害深表歉意,表明意识到错误原因。
正如许多旁观者向我们指出的那样,我们犯了的错误是在进行这项研究之前,没有与社区协商并获得许可。
对社区造成的伤害和管理员审查精力的浪费,表示并非故意:
我们只想让您知道,我们绝不会故意伤害Linux内核社区,也绝不会引入安全漏洞。我们的工作是出于发现和修复安全漏洞这一良好的目的进行的。
并重申大学其他被殃及“回滚”的历史提交与此事件无关。
所有正在恢复和重新评估的其他190个补丁都是作为其他项目的一部分和为社区提供的服务提交的;它们与“伪君子”研究无关。这190个补丁是对内核代码中真正bug的响应。
也说明了今后研究要注意的地方:
我们将致力于通过与社区领导者和成员就我们研究项目的性质进行协商,遵循合作研究的最佳实践,并确保我们的工作不仅符合IRB的要求,也符合社区在此次事件后向我们表达的期望。
信的最后,团队再次表示为违背了开源社区的共同信任而道歉,痛苦之余吸取教训,会积极行动并再次获得社区的信任,继续为提高Linux的质量和安全性做贡献。
落款为此次事件的三位当事人。
……
Linux内核的维护者Greg K-H在收到这封信后作出简短回复表示:
除非他们按照Linux基金会对他们的指示进行改变,并再次获得Linux内核社区的信任之后,这事儿才有进一步讨论的空间。
回复原文如下:
事件回顾
几天前,由于明尼苏达大学K.J Lu教授带领的团队曾连续多次给Linux内核社区提交“垃圾代码”来进行“分析开源软件漏洞”研究,Linux内核社区一气之下将明尼苏达大学拉黑。
他们的理由有两点:
1、认为此举浪费开源社区的时间,而且Linux内核开发者们不喜欢被试验;
2、惊讶明尼苏达大学竟然会让这种研究获得IRB Exempt,认为该大学并不在乎开源社区、甚至是故意这么干。
此事被社区维护者Greg挂出后,曾在整个开源社区“炸开了锅”。
恢复失去的信任并不容易
明尼苏达大学道歉后,针对Linux内核社区目前的拒绝原谅态度,正如一些评论说道:
虽然明尼苏达大学这次错误,没有造成严重的安全问题,但恢复失去的信任不容易。因为在Linux内核社区中,信任就是一切。
还有人用生动的比喻表达对管理员此举的赞同:
这就像某人给邻居一封“有毒”的信,等邻居要接手的时候,才告诉他有毒。如果你是这个人的邻居,你会是什么感觉,你以后还会相信他吗?
参考链接: [1]https://arstechnica.com/gadgets/2021/04/linux-kernel-team-rejects-university-of-minnesota-researchers-apology/ [2]https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u [3]https://www.zdnet.com/article/university-of-minnesota-security-researchers-apologize-for-deliberately-buggy-linux-patches/
— 完 —
本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容,未经账号授权,禁止随意转载。