Linus 回应“拉黑”事件:触犯禁忌,违背信任!
事件回溯
今年 2 月,来自美国明尼苏达大学的研究者 Qiushi Wu 和 Kangjie Lu 发布了一篇研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,旨在分析开源项目的安全性。为了做研究,他们向一些开源项目提交了一些有 BUG 的代码,其中 Linux 内核正是他们的主要实验「场地」。
这项研究在去年进行,当时提交的代码似乎并未引起安全漏洞,有一些甚至被成功合并入 Linux 内核树。
2 月份相关研究论文发布后,明尼苏达大学研究者想继续提交由「新型静态分析器」创建的 patch。
4 月 21 日,Linux 内核管理员 Greg Kroah-Hartman 在与明尼苏达人员沟通的邮件中表示:
“
您和您的团队此前提交了有 bug 的代码,以观察 Linux 内核社区的反应,并据此发表了一篇论文。现在,您想提交新的一批有问题代码,这些代码显然并非静态分析工具创建而成。
”
Greg 表示:「Linux 社区欢迎有意愿帮助 Linux 的开发者,但不希望成为试验场,接受无益代码或有 BUG 代码的『测试』。…… 因此,我必须禁止明尼苏达大学未来所有的贡献,并将您之前的贡献全部撤销。」
随后,Greg 在一封电子邮件中表示:来自 @umn.edu 邮件地址的代码提交被认为是「恶意提交」。因此,这一团队向 Linux 内核树提交的所有代码将被恢复原状,并进行重新 review,以确定得到有效修复。
Linus 表示不满
Linus 的火爆脾气相信大家都了解,此事件本身就热度不低,再加上 Linus 的自带标签,外媒 IT Wire 就“明尼苏达大学偷偷往 Linux 引入漏洞”一事采访了 Linus 的看法。
但这次 Linus 并没有就此事展开激烈的回应,他只是很平静的回应道:
“从技术上讲我并不觉得这是什么大事,但这让人们很生气,因为这显然违背了开发者之间的信任。”
Linus 说的没错,因为在开源社区中,有一个大家共通的禁忌:
开源作者将项目开源已经是个很艰巨的工作了,而且日常的维护工作也并不轻松,但却有人为了做实验故意多次提交带有漏洞的恶意补丁,而此举动的目的竟然只是为了看开源维护者如何应对。
Linux 庞大的内核社区的规模,更是让程序员之间的信任成为了开发过程中至关重要的一部分。
因此 Linus 对此表示不满:
“这很让人讨厌,因为大部分的补丁是有用的(通常补丁不是”无用的”或者“故意提交恶意代码”),所以从根本上来说,这种行为就是在浪费大家的时间。”
涉事教授:Aditya 并非故意
此事件的影响已经超出预期,所以当面对质问时,涉事教授 Kangjie Lu 在推特上回应道:
“
“我们对于您的担忧深表歉意,我明白社区为什么会对此不满,但关于 hypocrite commits 的项目早在 2020 年 11 月就完全结束了,而 Aditya 正在着手于一个在补丁中找漏洞的新项目,他并不是故意犯错的。”
”
除此之外,在 Kangjie Lu的个人主页上,我们可以看见《论通过假意提交代码在开源软件中偷偷引入漏洞的可行性》这篇论文下有 2 行加粗的标注:
“这个实验没有在 OSS 中引入任何漏洞或引入漏洞提交。它以一种安全的方式展示了修复漏洞中的缺陷。没有用户受到影响,并且这项实验获得了 IRB 的批准,而它实际上还修复了 3 个真正的漏洞。”
Kangjie Lu 还补充道:这项实验所涉及到的漏洞补丁并没有真正进入代码,它只停留在了 email 里。而正巧 Aditya 在进行另一个新项目时,向 Linux 提交的补丁不小心出现了错误。
有过提交补丁经验的人都知道,出错是在所难免的,可Linux 内核维护者却将这两个项目相联系,所以才导致了现在的局面。
并且,Kangjie Lu 曾经在被问到“该项目是否会浪费管理员精力”时,他的回答是:“会。”
所以他们明知这项实验会浪费 Linux 内核维护者本就不充裕的时间,却还是进行了这个实验。可这项实验又何尝不是利用 Linux 开源工作者的热情与义务,变相向他们增负呢?
参考链接:
https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html
https://twitter.com/kengiter/with_replies
5T技术资源大放送!包括但不限于:C/C++,Arm, Linux,Android,人工智能,单片机,树莓派,等等。在公众号内回复「peter」,即可免费获取!!
记得点击分享、赞和在看,给我
Linus 回应“拉黑”事件:触犯禁忌,违背信任!相关推荐
- 违背信任!Linus 回应“拉黑”事件
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 近日,明尼苏达大学被 Linux 拉黑的事情闹得沸沸扬扬,许多人对此热议不止.(详情可查看:为了写论文给 Linux "投毒& ...
- 微信回应转错帐被拉黑事件 支付宝:我们比较蠢 没法那么洒脱
点击上方"程序员大咖",选择"置顶公众号" 关键时刻,第一时间送达! 近日,一位姓黄的先生在微信上给自己表妹转帐,错转给陌生人最后被拉黑的事情广为传播,甚至连人 ...
- 解读京东“拉黑门”:被拐弯的真相
这些天,一则京东封停天天.百世物流的消息甚嚣尘上,部分舆论更是指责京东过于"霸权",一些被封停的物流官微更是在社交媒体上发起"声讨大字报",认为京东此举给其带来 ...
- 道歉无用!被 Linux “拉黑”的明尼苏达大学还在努力重获信任
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 上个月,"Linux 拉黑明尼苏达大学(UMN)"事件在开发者圈内引起了轩然大波:明尼苏达大学 Kangjie Lu ...
- 露脸炒作、直播剁手!乔碧萝、红花会贝贝被拉黑,5年!
乔碧萝殿下.红花会贝贝被拉黑了,5年内不得进行网络直播. 8月6日,中国演出行业协会网络表演分会公布第三批主播黑名单,乔碧萝殿下(张某花)和红花会贝贝(李某泽)在名单内,5年内两人将被禁止注册和直播. ...
- 离职3天被20个同事集体拉黑:职场人情,远比你想象的残酷
离职3天被20个同事集体拉黑:职场人情,远比你想象的残酷. 前几天跟朋友吃饭,朋友感慨自己工作几年了,能说说心底话的人,还是上学时候认识的那几个. 都说职场如战场,身在尔虞我诈的职场,说话都要藏三分, ...
- 微信浏览器下拉黑边的终极解决方案---wScroollFix
开始 由于在开发微信页面的时候下拉黑边的情况很常见,有时候会比较影响体验,因此开发了wScrollFix库,用于隐藏微信下拉的黑边问题 npm地址 github地址 什么是黑边 相信很多在微信上面做网 ...
- 为了写论文给 Linux “投毒”,导致整个大学都被 Linux 拉黑!
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 写过论文的人都知道,论文内容必须要有可靠的事实依据,或通过查阅书籍,或通过反复试验,总之不可能凭空捏造. 那么大家看看下面这篇论文的 ...
- 华人学者往Linux内核里提交bug,社区把整个明尼苏达大学拉黑了
梦晨 萧箫 发自 凹非寺 量子位 报道 | 公众号 QbitAI Linux内核的维护者Greg K-H,突然把整个明尼苏达大学拉黑了! 这是咋回事? 原来明尼苏达大学华人教授K.J Lu带领的团队在 ...
最新文章
- PHP设计模式 外观模式(Facade)
- python有哪些作用-python的函数有什么作用
- 程序员利用网吧挖矿,获利上亿元~!
- FBI树-数据结构(二叉树)
- 小程序跳转样式布局错乱_小程序页面布局样式元素总结
- Tricks(十八)—— 转置 list of lists
- 异域linux内核漏洞,Linux内核再现漏洞!这次11年后才发现
- 主板检测卡c5_主板测试卡代码及解决方法
- 微服务守护神-Sentinel-概念
- linux下系统中的文件传输
- 计算机系统适应社会不断发展,教师招聘《中学教育心理学》通关试题每日练(2020年11月27日-944)...
- C++ std::regex | 正则表达式
- Java代码获取网络和本地视频时长等信息
- 阿里云ECS云服务器CPU处理器型号主频睿频实例规格表
- 开始暂停按钮实现图片随机切换并显示在指定图像框内
- JS input校验只能输入数字(包括正负数、小数)
- 软件测试——Docker基本命令汇总
- “剑指Offer”数据结构篇:java实现
- dz兑换商城,使其支持多次兑换,兑换限制,和勋章打折
- zabbix监控深信服_zabbix snmp类型 无需安装agent也能监控(51)
热门文章
- 新能源汽车车载双向OBC,PFC,LLC,V2G 双向 充电 新能源汽车车载双向OBC
- 【upc】扶桑号战列舰 | 笛卡尔树 、 差分数组
- 打工人必学的法律知识(三)——《中华人民共和国劳动争议调解仲裁法》
- java 设计模式之解释器模式(十九)
- Intel SSD 760P 缓存机制实验与分析报告
- ProcessOn个人订阅版在线思维绘图工具
- android电视传屏软件下载,希沃传屏app下载 希沃传屏(投屏软件) for Android V1.1.4.2813 安卓手机版 下载-脚本之家...
- 图扑软件 | 数字孪生钢厂人员安全定位
- 如何将iPhone照片从iCloud下载到Mac
- 【数据处理与分析】电商订单数据清洗