明尼蘇達(dá)大學(xué)研究團(tuán)隊(duì)道歉，Linux內(nèi)核維護(hù)人員：拒絕

曉查 2021-04-28 00:00:46 來源：量子位

豐色 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號(hào) QbitAI

上周，明尼蘇達(dá)大學(xué)因提交“垃圾代碼”做漏洞分析，被Linux內(nèi)核社區(qū)拉黑一事，在網(wǎng)上吵得沸沸揚(yáng)揚(yáng)。

很快，明尼蘇達(dá)大學(xué)研究團(tuán)隊(duì)發(fā)表了一封很長的公開信向Linux社區(qū)，道歉了！

但Linux內(nèi)核社區(qū)管理員Greg周日收到了這封信后表示：拒絕接受道歉。

Linux內(nèi)核團(tuán)隊(duì)：先做出行動(dòng)再討論

這份道歉信的內(nèi)容大概如下：

首先，他們對(duì)此次事件給Linux內(nèi)核社區(qū)造成的所有傷害深表歉意，表明意識(shí)到錯(cuò)誤原因。

正如許多旁觀者向我們指出的那樣，我們犯了的錯(cuò)誤是在進(jìn)行這項(xiàng)研究之前，沒有與社區(qū)協(xié)商并獲得許可。

對(duì)社區(qū)造成的傷害和管理員審查精力的浪費(fèi)，表示并非故意：

我們只想讓您知道，我們絕不會(huì)故意傷害Linux內(nèi)核社區(qū)，也絕不會(huì)引入安全漏洞。我們的工作是出于發(fā)現(xiàn)和修復(fù)安全漏洞這一良好的目的進(jìn)行的。

并重申大學(xué)其他被殃及“回滾”的歷史提交與此事件無關(guān)。

所有正在恢復(fù)和重新評(píng)估的其他190個(gè)補(bǔ)丁都是作為其他項(xiàng)目的一部分和為社區(qū)提供的服務(wù)提交的；它們與“偽君子”研究無關(guān)。這190個(gè)補(bǔ)丁是對(duì)內(nèi)核代碼中真正bug的響應(yīng)。

也說明了今后研究要注意的地方：

我們將致力于通過與社區(qū)領(lǐng)導(dǎo)者和成員就我們研究項(xiàng)目的性質(zhì)進(jìn)行協(xié)商，遵循合作研究的最佳實(shí)踐，并確保我們的工作不僅符合IRB的要求，也符合社區(qū)在此次事件后向我們表達(dá)的期望。

信的最后，團(tuán)隊(duì)再次表示為違背了開源社區(qū)的共同信任而道歉，痛苦之余吸取教訓(xùn)，會(huì)積極行動(dòng)并再次獲得社區(qū)的信任，繼續(xù)為提高Linux的質(zhì)量和安全性做貢獻(xiàn)。

落款為此次事件的三位當(dāng)事人。

……

Linux內(nèi)核的維護(hù)者Greg K-H在收到這封信后作出簡短回復(fù)表示：

除非他們按照Linux基金會(huì)對(duì)他們的指示進(jìn)行改變，并再次獲得Linux內(nèi)核社區(qū)的信任之后，這事兒才有進(jìn)一步討論的空間。

回復(fù)原文如下：

事件回顧

幾天前，由于明尼蘇達(dá)大學(xué)K.J Lu教授帶領(lǐng)的團(tuán)隊(duì)曾連續(xù)多次給Linux內(nèi)核社區(qū)提交“垃圾代碼”來進(jìn)行“分析開源軟件漏洞”研究，Linux內(nèi)核社區(qū)一氣之下將明尼蘇達(dá)大學(xué)拉黑。

他們的理由有兩點(diǎn)：

1、認(rèn)為此舉浪費(fèi)開源社區(qū)的時(shí)間，而且Linux內(nèi)核開發(fā)者們不喜歡被試驗(yàn)；

2、驚訝明尼蘇達(dá)大學(xué)竟然會(huì)讓這種研究獲得IRB Exempt，認(rèn)為該大學(xué)并不在乎開源社區(qū)、甚至是故意這么干。

此事被社區(qū)維護(hù)者Greg掛出后，曾在整個(gè)開源社區(qū)“炸開了鍋”。

恢復(fù)失去的信任并不容易

明尼蘇達(dá)大學(xué)道歉后，針對(duì)Linux內(nèi)核社區(qū)目前的拒絕原諒態(tài)度，正如一些評(píng)論說道：

雖然明尼蘇達(dá)大學(xué)這次錯(cuò)誤，沒有造成嚴(yán)重的安全問題，但恢復(fù)失去的信任不容易。因?yàn)?strong style="-webkit-user-drag: none; -webkit-app-region: no-drag; color: #00997f;" data-darkmode-bgcolor-16195021748664="rgb(25, 25, 25)" data-darkmode-original-bgcolor-16195021748664="#fff|rgb(255, 255, 255)" data-darkmode-color-16195021748664="rgb(0, 153, 127)" data-darkmode-original-color-16195021748664="#fff|rgb(0, 0, 0)|rgb(0, 153, 127)">在Linux內(nèi)核社區(qū)中，信任就是一切。

還有人用生動(dòng)的比喻表達(dá)對(duì)管理員此舉的贊同：

這就像某人給鄰居一封“有毒”的信，等鄰居要接手的時(shí)候，才告訴他有毒。如果你是這個(gè)人的鄰居，你會(huì)是什么感覺，你以后還會(huì)相信他嗎？

參考鏈接：
[1]https://arstechnica.com/gadgets/2021/04/linux-kernel-team-rejects-university-of-minnesota-researchers-apology/
[2]https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u
[3]https://www.zdnet.com/article/university-of-minnesota-security-researchers-apologize-for-deliberately-buggy-linux-patches/