华人教授向 Linux 内核提交含 Bug 代码，Linux 管理员直接拉黑整所大学！

Linux 内核是目前最大的软件项目之一，拥有 2800 万行代码。世界各地的贡献者每天向 Linux 内核管理员提交大量 patch，经过 review 之后被合并入官方 Linux 内核树。这些 patch 可以帮助修复 Linux 内核中的 BUG 或问题，或者引入新的特性。

今年 2 月，来自美国明尼苏达大学的研究者 Qiushi Wu 和 Kangjie Lu 发布了一篇研究论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》，旨在分析开源项目的安全性。为了做研究，他们向一些开源项目提交了一些有 BUG 的代码，其中 Linux 内核正是他们的主要实验「场地」。

根据最新消息，Linux 内核管理员 Greg Kroah-Hartman 宣布撤销该团队的代码提交，并禁止明尼苏达大学未来所有的贡献。

我们来看这件事情的来龙去脉。

这项研究在去年进行，当时提交的代码似乎并未引起安全漏洞，有一些甚至被成功合并入 Linux 内核树。

2 月份相关研究论文发布后，明尼苏达大学研究者想继续提交由「新型静态分析器」创建的 patch。

4 月 21 日，Linux 内核管理员 Greg Kroah-Hartman 在与明尼苏达人员沟通的邮件中表示：

您和您的团队此前提交了有 bug 的代码，以观察 Linux 内核社区的反应，并据此发表了一篇论文。现在，您想提交新的一批有问题代码，这些代码显然并非静态分析工具创建而成。

这一实验并未向开源软件（OSS）引入任何 bug 或导致 bug 的提交。该研究旨在以一种安全的方式调查 patching 流程的缺陷。该实验并未影响任何用户，且得到 IRB 豁免（IRB Exempt）。此外，该实验还修复了 3 个真实的 bug。

叫停这项研究。我们将对该研究方法，及批准该研究方法的流程展开调查，确定恰当的补救措施。如有必要，我们将尽快向社区报告调查结果。

• 电子邮件：https://lore.kernel.org/linux-nfs/YH%2FfM%2FTsbmcZzwnX@kroah.com/
• https://lore.kernel.org/lkml/20210421130105.1226686-1-gregkh@linuxfoundation.org/
• 论文：https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
• 澄清声明：https://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf
• 明尼苏达大学计算机科学与工程系声明：https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021