把攻击者放进威胁模型,而不是安全研究者

安全
WinterIsComing (31822)发表于 2021年04月23日 14时59分 星期五
来自部门
HardenedLinux 写道 "近日一篇于2021年2月公开的论文"On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits"和相关针对Linux内核社区故意投递恶意UAF漏洞的试验被内核维护者Greg Kroah-Hartman攻击而进入公共的视野,迫于媒体的压力明尼苏达大学宣布进行调查,Greg和一些内核维护者的指控在一些方面有失偏颇,首先,这是一项非常有趣的研究,真实世界的攻击者不论是否有相关公开的研究都会进行此类攻击和尝试,从这个角度,我们应该感谢明尼苏达大学的研究者。Greg单方面的“决定”封杀明尼苏达大学邮箱的提交和撤回之前所有的代码贡献是过度反应,如果撤回之前代码贡献的原因仅仅是因为此次试验的内容,那内核社区是否应该考虑代码审核的过程过于脆弱。Greg如果有权封杀所有他个人不喜欢的安全研究者,是否意味着Linux内核社区默认赋予他这样的权利,幸运的是,并不是所有人都赞同Greg和媒体的说辞 ,或许此举让Linux内核社区的行为准则成为了笑话。另外,其他自由开源软件社区也同样面临恶意植入的问题,而这些实际的问题大量引入媒体而非专业人士的建议是不明智的,我们应该把攻击者放进威胁模型,而不是安全研究者和明尼苏达大学。"