前幾天有消息稱 明尼蘇達大學的兩名成員故意修補 Linux 內核的安全問題 這是 Linus Torvalds 和 Linux 基金會都沒有批准的研究項目的一部分。 因此,當他發現他們在做什麼時,負責維護穩定分支 Linux 內核的著名開發人員 Greg Kroah-Hartman 說: 他們的反應是不僅禁止他們,還禁止任何連接到 UMN 的開發人員進一步做出貢獻。
隨後,Linux 基金會的諮詢委員會由主要開發人員以及其他有責任的自願合作者組成並開始評估損失。 和 他們已經溝通過了 結果。
不和諧補丁
在大學成員總共做出的 435 份貢獻中,我們發現: 絕大多數都很好 其餘39個有錯誤,需要更正; 25 個已被更正,12 個已過時; 其中 9 個是在研究小組成立之前就已製作的,其中一個應其作者的要求被刪除。
惡意貢獻者使用兩個虛假身份s,這違背瞭如何向 Linux 內核貢獻代碼的記錄要求。 如果沒有機構合作,這是不可能實現的,因為大學毫無疑問地接受了“開發商原產地證書”,這是關於所提交作品的法律聲明。
與肇事者的說法相反,研究人員 Qiushi Wu 和 Aditya Pakki 以及他們的研究生導師、UMN 計算機科學與工程系助理教授 Kangjie Lu 表示,來自顧問委員會的他們認為所有帶有故意錯誤的補丁提交都已修復或被忽略, 由 Linux 內核的開發者和維護者開發。 結論是修訂項目工作正常。
事實上, 對明尼蘇達大學的禁令可能不是永久性的。 一切都取決於該機構:
…任命一組經驗豐富的內部開發人員,在公開發布這些更改之前對擬議的內核更改進行審查並提供反饋。 此修補程序將捕獲明顯的錯誤,並使社區不再需要反复提醒開發人員一些基本實踐,例如遵守編碼標準和廣泛的補丁測試。 這意味著更高質量的補丁流將在內核社區中遇到更少的問題。
犯罪是沒有代價的
研究人員不會從他們的研究結果中受益。 他們向安全研討會提交的論文已被接受。 但是,我認為由於社區的壓力,它被作者自己撤回了,他們認為:
首先,我們犯了一個錯誤,在進行研究之前沒有與 Linux 內核社區進行合作。 我們現在了解到,將其作為我們調查的對象並浪費您的精力在您不知情或未經許可的情況下審查這些補丁是不合適的,並且對社區有害。 相反,我們現在意識到,開展此類工作的適當方法是事先與社區領導接觸,以便他們了解這項工作,批准其目標和方法,並在項目完成後支持這些方法和結果.工作已完成並發布。 因此,我們正在撤回該文件,以便我們不會從錯誤進行的研究中受益。
其次,考慮到我們方法的缺陷,我們不希望這項工作成為這個社區如何進行研究的典範。 相反,我們希望這一集對我們的社區來說是一個可教的時刻,並且由此產生的討論和建議可以作為未來適當研究的指南。
他們似乎也不擅長做研究。 明尼蘇達大學在試圖回應 Linux 基金會的報告請求時,他發現補丁創建過程沒有很好的記錄。
如果我有兒子,我不會送他去澳大讀書