投稿:WS
原文:https://www.theverge.com/2021/4/22/22398156/university-minnesota-linux-kernal-ban-research

在发现来自明尼苏达大学的研究员故意提交有安全缺陷的代码后,一位Linux内核管理员已禁止此学院参与内核开发。

今年早些时候,为了演示怎么绕过审核机制提交潜在的恶意代码,两名来自此学院的研究员发表了一篇论文,详细谈及他们如何向Linux内核,提交有安全缺陷的代码。最近,又一名来自该学院的学生提交了据说是毫无作用的代码,内核维护管理员Greg Kroah-Hartman(同时也是内核创始人之一)已发表声明,呼吁其他内核管理员拒绝来自该学院(明尼苏达大学)邮箱地址(umn.edu)提交的代码。

除了不接受来至自该学院的新代码,所有该学院过去已提交的代码都正在被移除或重新审核。这看起来是个巨大的工作,但是Kroah-Hartman明确地说,开发者社区不喜欢被“作为试验品”,同时所有该学院代码都因为这个研究(指前面‘绕过审核机制提交潜在的恶意代码’的项目)被置于疑问。

明尼苏达大学已声明说,注意到这个研究和它带来的“禁止令”。学院已经停止了这项研究,并正调查此项目是怎么通过审批和开展的。

为了澄清此研究,项目研究人员(‘绕过审核机制提交潜在的恶意代码’的项目)说,他们主要是为了使人们注意到,这个代码提交机制的漏洞,可以让有‘安全缺陷’的代码(包括故意编写的潜在恶意代码)溜过。内核开发者 Laura Abbot在博客中反驳了这种说法,说有缺陷的代码能通过审核,在开源软件社区是早就知道的。一条像是私人信息中,那位提交‘毫无作用’代码的研究人员说,Kroah-Hartman对其代码的指控,是毫无根据的,接近“诽谤”。

现在不清楚引起这次争议的代码(指那个“毫无作用”的代码)是不是此研究(‘绕过审核机制提交潜在的恶意代码’的项目)的一部分。提交代码的人的确是用学院的邮箱地址(umn.edu),但是研究项目的补丁代码是通过随机Gmail地址提交的,而且代码提交者声称这些有缺陷的代码是工具软件生成的。Kroah-Hartman回应说,他发现这不可能是工具软件生成,而且基于这个研究项目的本质,他也不相信这代码是带有善意的。

在开源开发社区,也有一些批评的声音说,Kroah-Hartman的‘禁止令’是反应过度了,会导致被正常补丁代码修正的缺陷(bugs)再次出现。然而,值得提到的是,‘禁止令’是重新审核补丁代码,如果没问题会重新应用。

[ 广告 ]
赞一个 (5)

PREV :
NEXT :