明尼蘇達大學 Linux 內核「偽君子提交」研究人員發表公開信
就如我們之前報道的,因為對 Linux 內核提交了一些作用不明的補丁,並疑似以 Linux 內核作為其研究論文的試驗場,Linux 內核社區決定撤銷該大學所有近 200 個補丁貢獻,並將明尼蘇達大學「拉黑」。
此事件曝光並發酵之後,引來了全球技術社區的大量關注、抨擊和一些反思。之後,明尼蘇達大學計算機科學系表示暫停該研究項目,而陷入此事件的三位研究人員更是一時之間處於風口浪尖,招致了大量批評甚至謾罵。
此事件中的主要負責人 Kangjie Lu 助理教授昨日發表了一篇英文公開信進行澄清,我們將其翻譯並點評如下,如有表達不到位或誤解之處,敬請參照原文。
這封信是由此事件中三位研究人員聯合署名發表的:
Kangjie Lu, Qiushi Wu, and Aditya Pakki
University of Minnesota
其中 Kangjie Lu 是負責該項目的助理教授,而 Qiushi Wu 和 Aditya Pakki 都是 Lu 助理教授帶的博士生,其中 Qiushi Wu 是那篇論文《論通過偽裝提交在開源軟體中隱蔽地引入漏洞的可行性》的一作,而 Aditya Pakki 不是該論文的作者,但是是引發這場爭議的補丁提交者。
信件開頭首先對 Linux 內核社區致歉:
親愛的社區成員:
我們為我們的研究小組對 Linux 內核社區造成的任何傷害真誠地道歉。我們的目標是找出修補過程中的問題以及解決這些問題的方法,我們非常抱歉,在「偽君子提交」論文中使用的方法是不恰當的。正如許多觀察家向我們指出的那樣,我們犯了一個錯誤,在進行這項研究之前沒有找到諮詢社區並獲得許可的方法;我們這樣做是因為我們知道我們不能向 Linux 的維護者徵求許可,否則他們會對偽裝者的補丁進行監視。雖然我們的目標是提高 Linux 的安全性,但我們現在明白,讓社區成為我們研究的對象,並在社區不知情或未經其許可的情況下浪費其精力審查這些補丁,是對社區的傷害。
我們只想讓你知道,我們絕不會故意傷害 Linux 內核社區,也絕不會引入安全漏洞。我們的工作是抱著最好的目的進行的,都是為了尋找和修復安全漏洞。
然後介紹了該研究項目的情況,並進行了澄清:
「偽君子提交」的工作是在 2020 年 8 月進行的;它的目的是提高 Linux 中修補程序的安全性。作為項目的一部分,我們研究了 Linux 打補丁過程中的潛在問題,包括問題的原因和解決這些問題的建議。
按 Lu 助理教授的解釋,這個「偽君子提交」的研究已經於 2020 年 12 月結束,並且用於研究而提交的三個補丁也只是在郵件列表討論中進行的,從未獲得進入 Linux 內核的機會。而且,Linux 內核社區是知道這件事的。
- 這項工作並沒有在 Linux 代碼中引入漏洞。三個不正確的補丁是在 Linux 留言板的交流中討論和停止的,從未提交到代碼中。在提交論文之前,我們向 Linux 社區報告了這項工作的發現和結論(不包括不正確的補丁),收集了他們的反饋,並將其納入論文中。
Lu 助理教授還提到,這次事件發酵而招致 Linux 內核負責人 GKH 全部撤銷的 190 個歷史補丁,是和該項目無關的,是出於善意和服務提交的。但是這個事情發展到現在,按照 GKH 的說法,要對這 190 個補丁進行重新審核,不過這個工作是在 GKH 自己的倉庫內進行,無論審核結果如何,目前這 190 個補丁並沒有在 Linux 主線內核中發生變更。
- 所有其他 190 個被撤銷和重新評估的補丁都是作為其它項目的一部分和對社區的服務而提交的;它們與 「偽君子提交」論文無關。
- 這 190 個補丁是對代碼中真正的錯誤的回應,並且在我們提交時都是正確的 —— 就我們所能辨別的而言。
對於「偽君子提交」所涉及的三個研究性的補丁,正在努力進行披露:
- 我們理解社區希望獲得並檢查這三個錯誤的補丁的願望。這樣做會暴露在留言板上對這些補丁做出反應的社區成員的身份。因此,我們正在努力在披露這些補丁之前獲得他們的同意。
對於引發這次事件的幾個由 Aditya Pakki 提交的補丁,是和這 190 個補丁無關,也和「偽君子提交」研究無關,是另外一個項目所產生的。
- 我們最近在 2021 年 4 月的補丁也不屬於「偽君子提交」文件的範圍。我們一直在進行一個新的項目,旨在自動識別由其他補丁(不是來自我們)引入的 bug。我們的補丁是為了修復被識別的 bug 而準備和提交的,以遵循責任披露的規則,我們很高興與 Linux 社區分享這個較新項目的細節。
只是這些補丁看起來質量不佳,按 Aditya Pakki 的說法,「它的靈敏度顯然不是很高」。正是由於這些糟糕的補丁,引發了 Linux 內核社區的憤怒,並將其和之前的「偽君子提交」研究聯繫到一起。
在公開信中,Lu 助理教授等繼續認錯:
我們是一個研究小組,其成員致力於改善 Linux 內核的工作。在過去的五年里,我們一直致力於尋找和修補 Linux 的漏洞。過去對修補過程的觀察促使我們也研究和解決修補過程本身的問題。目前這一事件在 Linux 社區引起了對我們、研究小組和明尼蘇達大學的極大憤怒。我們為我們現在認識到的違反開源社區共同信任的行為無條件地道歉,並為我們的錯誤行為尋求寬恕。
並請求社區原諒:
我們尋求從謙遜的角度重建與 Linux 基金會和 Linux 社區的關係,以創建一個基礎,我們希望從這個基礎上,我們可以再次為我們的共同目標作出貢獻,即提高 Linux 軟體的質量和安全性。我們將與我們的院系合作,因為他們為尋求在開源項目、同行生產網站和其他在線社區進行研究的師生開發新的培訓和支持。我們致力於遵循合作研究的最佳實踐,就我們研究項目的性質與社區領導人和成員進行協商,並確保我們的工作不僅符合 IRB(學術倫理委員會) 的要求,而且符合社區在此事件後向我們闡述的期望。
雖然這個問題對我們來說也很痛苦,我們對 Linux 內核社區所承擔的額外工作感到由衷的抱歉,但我們從這次事件中吸取了一些關於與開源社區研究的重要教訓。我們可以而且會做得更好,我們相信我們在未來還有很多貢獻,並將努力工作以重新獲得你們的信任。
我的看法
這件事到此算是告一段落了,如果這封公開信披露的信息屬實,而 Linux 內核社區也願意接受的話,那不失一個還算美好的結局。
就我個人的感受,Lu 助理教授的這封道歉的公開信,算得上謙卑,或許心中有所委屈,但還是就能道歉的地方都低頭道歉了。在這個事件發酵後,我們其實看到了很多對這個研究團隊的、對這些研究人員個人的謾罵和指責,鮮少能看到理智而獨立的看法——這還僅僅只是中文社區的一個小角落。所以,可以想像身處美國的 Lu 助理教授和他的學生們會招致什麼樣的壓力和語言暴力。
事實上,初看到這個新聞時,我也非常憤怒,也為其中兩位研究人員是華人而感覺蒙羞。但是,在我仔細梳理了內核社區的郵件列表對話、綜合了各處信源之後,得出的結論和看法,是和這份公開信相似的。也許 Lu 助理教授他們在此事件中有些不當,但內核社區的負責人的處置也或許有點過激。那麼,社區是否真正能做到公平公正和公開決策?作為知名領袖和多年的社區元老,個人所做的處置和反應帶來的影響可能要比預想的更高,在決策前是否應該三思?
另外,從這個事件中,還反映出的一個情況是,Linux 內核社區的管理和審核,似乎還是人治為主,對於來自外部的惡意或無意的破壞,應該具有更有效的反應機制。
好了,對於這件事,你如何看呢?
更新
周六深夜,內核團隊的 GKH 回復說:
謝謝你的回應。
如你所知,Linux 基金會和 Linux 基金會的技術顧問委員會在周五向貴校提交了一封信,概述了需要採取的具體行動,以便貴組和貴校能夠努力重新獲得 Linux 內核社區的信任。
在採取這些行動之前,我們不會就這個問題進一步討論。
謝謝
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive