solidot新版网站常见问题,请点击这里查看。

明尼苏达事件的教训

Linux
WinterIsComing (31822)发表于 2021年04月30日 22时58分 星期五

来自
4 月 20 日整个世界都知道了明尼苏达大学的一个研究项目:研究人员通过递交存在漏洞的补丁尝试向内核引入漏洞。然而事件的导火索并非是这项研究,而是与同一教授的另一名博士生的实验性静态分析工具有关,这位研究人员递交了可疑的补丁,令内核维护者怀疑是之前研究项目的延续。俗话说,能归咎于无能的不应该认为是恶意。Linux 基金会技术质询委员会随后发表声明,认为新的补丁不是出于恶意而是出于善意,它同时向明尼苏达大学发去了信函提出了如何解决问题的要求,这一信函没有公开。据报道信函要求撤回论文和完整披露所有相关的补丁。Kangjie Lu 教授已经在 27 日披露了在研究过程中递交的所有补丁(PDF),原计划在五月的会议上发表的论文也已经撤回。研究人员递交的五个试图植入 bug 的补丁中的一个本身也存在 bug,导致的结果是它实际上是有效的。维护者没有接受其它包含 bug 的补丁。整件事的一个教训是不要把自由软件社区当作试验工具的免费验证服务;内核维护者真的很忙的,没有足够的时间评估每一个传递到他们手上的补丁,他们不得不依赖递交补丁的开发者的信誉,没有信誉那么递交的补丁也就没有那么可信了;Linux 内核在全世界被广泛使用,是网络基础设施的一部分,试图引入 bug 是非常危险且恶意的事情。