華人學者往Linux內核裡提交bug，社區把整個明尼蘇達大學拉黑了

Linux內核的維護者Greg K-H，突然把整個明尼蘇達大學拉黑了！

這是咋回事？

原來明尼蘇達大學華人教授K.J Lu帶領的團隊在向Linux內核提交補丁時，故意引入新的Bug，然後以此寫論文。

在被警告過一次之後，最近竟然又有這個大學的學生提交明顯無效的補丁。

要知道，Greg每天要審查幾百個代碼提交，忙得要死，中間還發現搗亂的，得是什麼心情。

Greg表示，隨便一個懂點C語言的人都能看出你這代碼沒丁點作用，別拿我們當試驗對象。

Greg放下狠話，未來任何來自umn.edu郵箱的提交都應被默認拒絕。

不僅如此，Greg一口氣把來自這個學校郵箱的歷史提交都撤銷了，後面再挨個審查。

此事被Greg掛出，整個開源社區立即炸開了鍋。Twitter、Reddit、Hacker News都在瘋狂蓋樓中。

究竟發生了什麼？這個故事要從去年11月說起。

這個團隊到底要搞什麼？

先看看這篇論文的標題：論通過僞君子式代碼提交 (Hypocrite Commits)在開源軟件中隱蔽地引入漏洞的可行性。

作者是Lu教授和他的學生Q.S Wu，他們的研究方向是操作系統、程序分析、編譯器的安全問題。

Lu教授去年11月把這篇論文的摘要發在了Twitter上，引起了大家的困惑。

隨後摘要被刪了，只留下一個解釋。

Lu教授的說法是，他們先找到一個真實的Bug A，寫一個補丁A，這個補丁中卻悄悄帶一個Bug B。再寫一個修復Bug B的補丁B一起提交，換句話說是用了兩個步驟修復Bug A。

Lu教授還聲稱，他們將此事告知了內核管理者，讓他們要麼同時接受兩個補丁，要麼都不接受。

並且沒有Linux用戶因此受到傷害，最終結果是他們提交了一系列補丁修復了3個真實Bug（中間引入的新Bug都被後續補丁修復了）。

後來看到的吃瓜羣衆表示，你這把帖刪了就留個解釋，讓人更迷惑了。

於是，該研究團隊在12月寫了一篇完整聲明來澄清這件事。

聲明中提到，論文的目的是提高開源軟件修補過程的安全性，已被IEEE S&P 2021接受。

該團隊在爲Linux內核修復1000多個bug的過程中觀察到了補丁過程存在一些問題。

論文驗證了在提交補丁中引入新的Bug，並被開源社區接受的可能性。想呼籲大家重視這個問題、改善補丁的流程，比如開發自動測試和驗證補丁有效性的工具。

所有引入Bug的補丁都只停留在郵件列表交流中，沒有被採用或合併到任何Linux分支中，這一點得到了社區維護者的明確確認。

總之是爲了提高開源軟件安全性，沒有惡意。由於沒有解釋清楚造成了許多爭議，向大家道歉。

這種研究不可避免地浪費了社區維護者寶貴的時間，爲了彌補，團隊把補丁的代碼改動限制在5行，並努力找出並修復了3個真實的bug。

聲明中還舉了之前的例子，該團隊在2013年證明蘋果公司的應用審查過程存在缺陷，隨後蘋果公司加固了系統。因此該團隊相信本次研究最終也能提高Linux內核的安全性。

最關鍵的是，這項研究已經得到了明尼蘇達大學倫理審查委員會(IRB)的豁免(Exempt)。

IRB認爲，研究對象不是人類行爲，不屬於人類研究(Human Research)。

研究過程中沒有收集任何個人信息。

研究目的是揭示過程中存在的問題，而不是指責任何開源社區維護者。

但這篇論文，爲何會導致社區將明尼蘇達大學拉黑呢？

爲什麼社區要拉黑他們？

時間來到今年4月。

4月6號，明尼蘇達大學一個名爲Aditya Pakki的在讀博士生，給Linux內核提交了一個小補丁。

這個補丁看起來很簡單，似乎也能提高代碼質量，起初曾獲得了幾個社區成員的批准。

然而，4月9日，谷歌首席軟件工程師、社區成員之一Eric Dumazet很快發現不對，並指出了代碼存在的問題。

4月19日，Linux內核社區的貢獻者之一Al Viro在看過代碼後，非常生氣，表示這個補丁的提交者“不是對代碼一竅不通的話，就是故意的。”

之所以會做出這樣的判斷，是因爲這名提交代碼的博士生Aditya Pakki，恰好也在明尼蘇達大學K.J Lu教授的小組中。

而K.J Lu教授帶領的團隊，正是之前給Linux內核社區提交過“垃圾代碼”、來進行“分析開源軟件漏洞”研究的團隊。

這事一出，社區成員Leon Romanovsky發現，這位博士還提交了3個類似的補丁。

他表示，這四個補丁均帶有嚴重的安全漏洞，其中好些已經進入了核心代碼層。

現在，這些補丁正在被移除。

對此，Aditya Pakki在4月21號迴應此事，表示研究人員的態度明顯是“先入爲主”：

這番言論惹怒了Linux內核管理員Greg。

他表示，自己將會禁止明尼蘇達大學對Linux內核做出貢獻，並會取消這一研究小組此前所有的貢獻，因爲這些提交“顯然都是惡意的行爲”。

Greg在社交媒體上表示：“這樣做是浪費開源社區的時間，Linux內核開發者們不喜歡被試驗。”

那麼，爲什麼要拉黑整個明尼蘇達大學呢？

社區認爲，明尼蘇達大學竟然會讓這種研究獲得IRB Exempt，證明學校並不在乎開源社區、甚至可能是故意的。

現在，明尼蘇達大學計算機科學與工程系官方已出面調查此事：

具體來說，將會重新調查這一研究獲得IRB的過程，是否具有爭議。

教授迴應：並非同一項目

目前，K.J Lu教授已經針對此事進行迴應：

針對這件事本身，高級Linux內核開發、谷歌工程師Ted t’so認爲，這裡面最關鍵的問題在於，Lu教授和他的團隊並未對自己此前的研究表示愧疚：

據ZDNet報道，不少Linux社區的開發者和管理員，都持有這樣的看法。

針對教授研究的內容本身，Red Hat的科技策略分析師Jered Floyd則認爲，關於“分析開源軟件漏洞”的這項研究，確實“不太道德”：

針對大學的機制，也有網友表示，部分大學的IRB審查機制，還應該進一步完善：

當然，也有網友認爲，Linux也應該採取更安全的方式進行代碼貢獻：

爭議論文：https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

對論文的聲明：https://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf

參考鏈接：[1]https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021[2]https://www.zdnet.com/article/greg-kroah-hartman-bans-university-of-minnesota-from-linux-development-for-deliberately-buggy-patches/[3]https://news.ycombinator.com/item?id=26887670[4]https://lore.kernel.org/linux-nfs/YH%2FfM%2FTsbmcZzwnX@kroah.com/