出品|開源中國
文|Travis
Linux 核心項目維護者 Greg Kroah-Hartman 決定禁止美國明尼蘇達大學(UMN)為開源 Linux 項目做貢獻。其原因是明尼蘇達大學的研究人員被發現送出了一系列的惡意代碼,或故意在官方 Linux 代碼庫中引入有安全漏洞的更新檔以作為其研究活動的一部分。
鑒于上述原因,Greg 決定還原從 @umn.edu 電子郵件位址送出的所有代碼送出。
"來自 @umn.edu 位址的送出被發現是惡意送出,正因為如此,所有來自這個組織的送出必須從核心樹中還原,并需要再次重新審查,以确定它們是否真的是有效的修複。"
明尼蘇達大學的研究人員故意在 Linux 核心主線中隐蔽地引入漏洞,并基于此在2021年2月發表了一篇闡述“開源不安全”的論文(點選檢視論文,論文署名為 Qiushi Wu 和 Kangjie Lu)。這項研究的重點就是通過送出惡意或不安全的代碼更新檔,故意在 Linux 核心中引入已知的安全漏洞。
但是,即使在這篇論文之後,明尼蘇達大學的研究人員還推出了新一輪的更新檔,這些更新檔聲稱來自 "一個新的靜态分析器",實際上該更新檔沒有任何真正的價值。無論好壞,至少是在浪費上遊開發者的時間,而這最終導緻 Greg 決定禁止他們在未來嘗試為 Linux 核心做貢獻。
Greg 今天早上在核心郵件清單中寫道:"這些新的更新檔顯然根本就沒有修複任何東西。那麼,除了你和你的團隊繼續通過發送這種無稽之談的更新檔來對核心社群的開發者進行試驗之外,我還能想到什麼呢?任何對 C 語言有一定了解的人都可以看到你送出的更新檔根本沒有任何作用。正因為如此,我現在不得不禁止你們大學今後的所有貢獻,并删除你們以前的貢獻,因為它們顯然是以惡意的方式送出的,目的是為了造成問題。是以,不再歡迎來自明尼蘇達大學的人對上遊的 Linux 核心開發作出貢獻。“
截止到目前,已确認明尼蘇達大學之前對 Linux 核心送出的更新檔(有意義的更新檔)将會被恢複。