Linux基金会向明尼苏达大学提出的关于Linux补丁安全项目的要求

说Linux内核开发人员对一对明尼苏达大学（University of Minnesota，UMN）的研究生出于研究论文的目的在Linux内核中插入安全漏洞感到愤怒“关于通过伪君子提交在开放源码软件中秘密引入漏洞的可行性”是一个严重的轻描淡写。

Greg Kroah Hartman，稳定分支的Linux内核维护者，以其慷慨大方和随和而闻名的Linux内核维护者，分解并实验未经机构审查委员会（IRB）事先审查或批准而进行，这是不可接受的，而事后IRB的审查也批准了对那些不同意的人的实验。这是正确的。吴和陆在UMN IRB的发言中说：“我们最近完成了一项研究OSS修补过程的工作。”他们只请求IRB的许可https://twitter.com/kengiter/status/1330669761219465218“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>在他们分享了论文摘要后Twitter上的论文。随后，在他们承认摘要的发表引起了“激烈的讨论和推诿”之后，他们删除了摘要，并就引起“许多困惑和误解”向IRB道歉

虽然IRB似乎事后批准了这项研究，但Linux内核社区并没有被保留在循环中。研究人员声称他们与Linux社区的人交谈过，但他们从未被确认身份。因此，Kroah Hartman的反应是，他得到了“毫无意义的补丁”，只是认为这是又一次试图通过“继续在内核社区开发人员身上进行实验”来浪费Linux内核维护人员的时间。Dolan接着说：

我们鼓励并欢迎改进安全性和安全审查过程的研究。Linux内核开发过程采取步骤来检查代码以防止缺陷。然而，我们认为未经同意对人进行实验是不道德的，而且可能涉及许多法律问题。人是软件评审和开发过程中不可或缺的一部分。Linux内核开发人员不是测试对象，因此不能这样对待。这是一个要点。研究人员首先在IRB常见问题中声称：“这不被认为是人类研究。本项目研究修补过程中的一些问题，而不是个人行为，我们没有收集任何个人信息。”

不过，在下一段中，UMN的研究人员放弃了这一说法。
“在整个研究过程中，我们确实不认为这是人类研究，所以一开始我们没有申请IRB批准。我们对引起的关注表示歉意。这是我们学到的一个重要教训——不要相信自己决定人类的研究；当研究可能涉及任何形式的人类受试者时，请始终参考IRB。“
Dolan接着说：

这也浪费了他们宝贵的时间，使全世界数十亿依赖他们的成果的人处于危险之中。虽然明尼苏达大学的研究人员声称要采取措施防止在最终的软件中包含漏洞，但他们未能获得同意表明他们缺乏谨慎。这也会导致更大的后果，因为Linux内核的更改会被许多其他基于内核代码库构建的下游项目所接受。
然后我们得到了问题的核心。当多兰说https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u“target=”\u blank“rel=“noopener noreferrer nofollow”data component=“externalLink”>UMN研究人员的道歉是有希望的，Linux社区需要更多。或者，作为Kroah Harmanhttps://lkml.org/lkml/2021/4/25/146“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>直截了当地说：
，Linux基金会和Linux基金会的技术咨询委员会在周五向贵校提交了一封信，概述了为使你们的团队和你们的大学能够重新获得Linux内核社区的信任而需要采取的具体行动。
在采取这些行动之前，我们对这个问题没有任何进一步的讨论。
这些“请求”是：
请尽快向公众提供所有必要的信息，以便从任何U-of-MN实验中识别已知易受攻击代码的所有提议。信息应包括每个目标软件的名称、提交信息、提议者的声称名称、电子邮件地址、日期/时间、主题和/或代码，以便所有软件开发人员能够快速识别此类提议，并可能对此类实验采取补救措施。查找所有这些代码是一个真正的问题。高级Linux内核开发人员Al Viro发现了第一个四月的假补丁，指出：““数据的缺乏是让整个事情变得不成比例的一部分——如果他们费心附上他们实验中提交的SHA1列表（或链接到这些列表），或者更好的是，维护并提供了所有提交的消息ID列表，不管提交成功与否，这与一揽子恢复请求等的混乱会小得多（如果真的发生了）。“
事实上，Linux开发人员和提交者现在正在花时间审查几百个UMN Linux内核补丁。他们不觉得好笑

Dolan接着要求将该论文“从正式出版物和正式报告中撤回所有基于该研究或类似研究的研究工作，其中人们似乎未经事先同意就进行了实验。将档案信息发布在互联网上是可以的，因为这些信息大多已经公开，但这类作品不应该有研究学分。”
感谢该论文的常见问题，我们已经知道它已经被 IEEE安全与隐私研讨会（IEEE S&；P） 2021年。这是计算机安全研究人员的顶级论坛。2021年的虚拟会议将于5月23日至5月27日期间举行。UMN还没有说它是否会被撤回。
多兰强调要确保在实验开始之前，UMN在人身上的进一步实验有IRB审查。
他说：“确保IRB未来对人类实验计划的所有审查，按照通常的研究规范和法律，通常会确保被实验者的同意。”目前，UMN还没有回应我们关于学校计划做什么的信息要求

多兰说，这一切的意义在于“消除这些活动带来的所有潜在损害和感知损害，消除这些活动带来的任何感知益处，并防止其再次发生。我们希望看到你们的学生和教职员工在未来做出富有成效的、适当的开源贡献，就像我们在前几年看到的那样，来自你们机构的贡献。”
Linux基金会希望学校尽快回应这些请求。Linux的维护人员还想知道UMN补丁是怎么回事，这样他们就可以继续前进了。他们更愿意致力于改进Linux，而不是追查可能的故意植入错误。

到目前为止，他们还没有找到。但当你负责维护这个星球上最重要的操作系统时，安全总比后悔好

相关报道：
离在家实现万兆更近了一步
Greg Kroah Hartman通过注册，禁止明尼苏达大学的Linux开发中存在漏洞的补丁程序，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof
2023-03-22 10:04:32

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示