几天前,人们知道 明尼苏达大学的两名成员曾故意用安全问题修补Linux内核。 这是Linus Torvalds和Linux Foundation都未批准的研究项目的一部分。 因此,当他知道他们在做什么时,著名的开发人员Greg Kroah-Hartman负责为稳定分支维护Linux内核, 作为回应,不仅禁止他们,而且禁止与UMN连接的任何开发人员继续做出贡献。
随即,由主要开发人员以及其他经证实具有责任感的自愿合作者组成的Linux Foundation咨询委员会。他们开始评估损失。 Ÿ 他们已经沟通了 结果。
不和谐的补丁
在大学成员的总共435份捐助中,发现 绝大多数都很好 在其余的39个中,有错误需要纠正。 25个已被更正,12个已经过时; 在该研究小组存在之前,已经完成了9项研究,并且在其作者的要求下淘汰了一个研究小组。
那些负责恶意贡献的人使用了两个错误的身份s,这与将代码贡献给Linux内核的已记录要求不符。 如果没有机构的合作,这是不可能做到的,因为大学毫无疑问地接受了“开发者原产地证书”,这是一份关于所提交工作的法律声明。
与行凶者,调查者吴秋石和阿迪亚·帕基及其研究生顾问,康宁大学计算机科学与工程系助理教授陆康洁教授的看法相反,他们来自咨询委员会。争辩说,所有故意错误的补丁提交都是固定的,或者被忽略了, 由Linux内核开发人员和维护人员编写。 结论是审查项目运作良好。
事实上, 对明尼苏达大学的禁令可能不是永久性的。 一切都受制于该机构:
…指定一组经验丰富的内部开发人员,以在提议的内核更改公开发布之前对其进行审查并提供反馈。 此修补程序将捕获明显的错误,并使社区不再需要反复提醒开发人员一些基本的实践,例如遵守编码标准和广泛的补丁程序测试。 这将导致更高质量的补丁流,在内核社区中将遇到较少的问题。
犯罪不付钱
研究人员将不会从他们的调查结果中受益。 他们在安全研讨会上发表的论文已被接受。 但是,我想是在社区的压力下,它被作者自己撤回了,他们认为:
首先,在进行研究之前,我们没有与Linux内核社区进行合作,这是一个错误。 我们现在了解到,将社区作为我们的研究主题,并浪费他们的精力在未经其知情或许可的情况下审查这些补丁程序是不合适的,而且是伤害人的。 相反,我们现在意识到,进行此类工作的正确方法是事先与社区负责人接触,以便他们了解工作,批准其目标和方法,并在工作完成后可以支持方法和结果。完成并发布。 因此,我们将撤回该文档,以免我们从错误的研究中受益。
其次,鉴于我们方法的缺陷,我们不希望这项工作成为如何在该社区中进行研究的模型。 相反,我们希望这一集对我们的社区是一个学习的时刻,并且由此产生的讨论和建议可以作为将来进行适当调查的指南。
做研究似乎也不是一件好事。 明尼苏达大学(University of Minnesota)为回应Linux基金会的报告要求,发现修补程序提交的创建过程没有得到很好的记录。
如果我有孩子,我不会派他去密西根大学读书