「拉黑」事件最新進展：Linux 對道歉公開信態度冷淡

今年 2 月，來自美國明尼蘇達大學的研究者 Qiushi Wu 和 Kangjie Lu 發佈了一篇研究論文《On the Feasibility of Stealthily Introducing Vulnerabilities inOpen-Source Software via Hypocrite Commits》，旨在分析開源項目的安全性。爲了作研究，他們向一些開源項目提交了一些有 BUG 的代碼，其中 Linux 內核正是他們的主要實驗「場地」。

道歉公開信內容

明尼蘇達大學這次事件的相關研究人員——助理教授 Kangjie Lu 和博士生 Qiushi Wu、Aditya Pakki 發表了一封致 Linux 內核社區的公開道歉信。

公開信開篇表述稱，該研究小組爲其對 Linux 內核社區形成的任何傷害表示真誠的歉意。

「咱們很是抱歉。Hypocrite Commits 論文中使用的方法是不恰當的​。」

並表示，他們錯在沒有在進行研究以前先與 Linux 社區進行協商並得到許可。但信中也解釋稱，由於他們知道本身不能提早向 Linux 的維護者徵求許可，不然就會引發維護者對這些補丁的注意，從而影響研究結果。

雖然咱們的目標是提升 Linux 的安全性，但咱們如今明白，讓社區成爲咱們研究的對象，並在其不知情或未經容許的狀況下浪費你們的精力審查這些補丁，是對社區的傷害。

咱們只想讓你們知道，咱們毫不會故意傷害 Linux 內核社區，也毫不會引入安全漏洞。咱們的工做是抱着最好的目的進行的，都是爲了尋找和修復安全漏洞。

信中還強調稱，其餘來自UMN.edu 的補丁都是善意的、真誠的。

「全部其餘 190 個被恢復和從新評估的補丁都是做爲其餘項目的一部分和對社區的服務而提交的；它們與Hypocrite Commits 事件無關。這 190 個補丁是對代碼中所存在的真正的錯誤的迴應，而且就咱們所能辨別的程度而言，它們在提交的時候都是沒有問題的。」

公開信最後指出，研究組成員對 Linux內核社區所需承擔的額外工做感到由衷的抱歉，他們在痛苦之餘也從此次事件中汲取了一些關於與開源社區研究的重要教訓。「咱們能夠並且會作得更好，咱們相信咱們在將來還有不少貢獻，並將努力工做以從新得到大家的信任」。

Linux 的態度

在收到公開信後，Linux 的內核維護者 Greg Kroah-Hartman 只給出了簡短的回覆：

「衆所周知，Linux 基金會和技術顧問委員會於 4 月 23 日星期五向您的大學遞交了一封信，概述了您的大學以及小組爲了可以從新得到 Linux 內核社區的信任而須要採起的行動。

在大家作出行動以前，咱們不會有進一步的討論。」

Sudip Mukherjee 代表發送的這些補丁將須要一些時間才能刪除，他於 4 月 21 日寫信給 Kroah-Hartman，指出其中許多 bug 已經傳送到了 Linux 的內核。

除此以外，他還在信中提到 「我能夠在今天結束以前向您發送恢復補丁，以保持內核穩定（若是您的腳本尚未完成的話）。」

Kroah-Hartman回覆道：

「是的，若是您有這些已經存在於內核中的列表，並可讓咱們擁有恢復補丁的程序就很棒，這將使咱們擺脫那些不得不作的額外工做。」

完整公開信地址：

https://www.oschina.net/actio...

參考連接：

https://www.itwire.com/open-s...