整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

近日，明尼苏达大学被 Linux 拉黑的事情闹得沸沸扬扬，许多人对此热议不止。（详情可查看：为了写论文给 Linux “投毒”，导致整个大学都被 Linux 拉黑！）

有认为涉事教授及学生“对开源不尊重”，有认为他们“吃饱了撑的”，也有人认为“这证明 LinuxPR 请求的审查的确有漏洞”。

在多种声音下，还有一群吃瓜群众“看热闹不嫌事大”：

好的，满足你们，咱们的 Linus 大神昨天真的回应此事了！

违背了信任

或许是 Linus 的火爆脾气实在令人难忘，也或许是听到了吃瓜群众们深切的呼唤，昨日外媒 IT Wire 就明尼苏达大学偷偷往 Linux 引入漏洞一事询问了 Linus 的看法。

不过，那些隐隐期待 Linus 口出“金句”的吃瓜群众可能要感到失望了。

Linus 并没有强烈地“喷”这件事，而是很平静的回应道：“我不认为从技术上讲这是什么大事，但让人们很生气，因为这显然违背了开发者之间信任。”

的确，在任何开源社区中，这都是一个巨大的禁忌：开源作者把项目开源已经不易，日常的维护工作也不轻松，可有人为了做实验故意多次提交带有漏洞的恶意补丁，就为了看开源维护者将如何应对？尤其在规模庞大的 Linux 内核社区中，程序员之间的信任更是开发过程中至关重要的一部分。

因此 Linux 内核维护者 Greg Kroah-Hartman 认为明尼苏达大学故意反复向 Linux 内核注入漏洞的行为“不可接受，完全不道德”。正如他所说，““Linux 内核开发人员不喜欢被试验，我们还有许多实际工作要做。”

Linus 也表示对这种反复提交已知漏洞的做法感到不满：“这很烦人，因为大部分的补丁是有用的（通常不是“无用”或者“故意提交恶意代码”），所以从根本上来说，这就是在浪费人们的时间。”

涉事教授：Aditya 不是故意犯错的

由于这件事影响恶劣，因此涉事教授 Kangjie Lu 也进行了回应。

在面对质问时，Kangjie Lu 在推特上回应称：

“对于您的担忧，我们深表歉意。我知道社区为什么对此不满。但关于 hypocrite commits 的项目 2020 年 11 月就完全结束了，而 Aditya 正在着手一个在补丁中找漏洞的新项目，他不是故意犯错的。”

除了在推特上进行了简短的回应，在 Kangjie Lu 的个人主页上，可以看见《论通过假意提交代码在开源软件中偷偷引入漏洞的可行性》这篇论文下有 2 行加粗的标注：

“这个实验没有在 OSS 中引入任何漏洞或引入漏洞提交。它以一种安全的方式展示了修复漏洞中的缺陷。没有用户受到影响，并且这项实验获得了 IRB 的批准，实际上还修复了 3 个真正的漏洞。”

Kangjie Lu 还主张，这项实验所涉及到的漏洞补丁并没有真正进入代码，只是停留在了 email 里，而正巧 Aditya 在进行另一个新项目时，向 Linux 提交的补丁不小心出现了错误，但有过提交补丁经验的人都知道，出错是在所难免的，可 Linux 内核维护者却将这两个项目相联系，所以才发生了现在的事情。

关于论文实验中的恶意补丁到底有没有进入真正 Linux 内核这件事先按下不表，Kangjie Lu 曾经在面对“该项目是否会浪费管理员精力”的提问时，他的回答是：“会。”

即 Kangjie Lu 他们明知这项实验会浪费 Linux 内核维护者本就忙碌的时间，还是进行了这个实验。可这项实验又何尝不是利用 Linux 开源工作者的热情与义务，变相地压榨他们的工作呢？并且看 Linux 那边的态度，事先对这项实验也并不知情。

最后，对明尼苏达大学来说，想把自己“拉出 Linux 黑名单”最有效的解决方法，或许就是让 Kangjie Lu 他们给出论文实验中引入漏洞的补丁是用哪些邮箱提交的（据悉，Kangjie Lu 在实验中提交补丁时用的并非是 @umn.edu 邮箱，而是随机的 gmail 邮箱），以便证实带有漏洞的补丁的确未进入 Linux 内核，或者方便 Linux 社区快速定位漏洞，而不用将所有明尼苏达大学之前提交的代码一一排查。

不过，归根结底，这项实验还是有点“钓鱼执法”那味儿了，而且比起说它是一项研究代码的实验，可能“人类研究（human research）”更适合它的定位，因为这项实验的最初，就是在围绕“如果向开源软件以提交代码的方式注入漏洞，开源社区将如何处理”这个主题进行的，而开源社区——是由人组成的。

对此，你有什么看法吗?

参考链接：

https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html

https://twitter.com/kengiter/with_replies

60+专家，13个技术领域，CSDN 《IT 人才成长路线图》重磅来袭！

直接扫码或微信搜索「CSDN」公众号，后台回复关键词「路线图」，即可获取完整路线图！