日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

近日，明尼蘇達(dá)大學(xué)盧康杰教授的研究團(tuán)隊(duì)對(duì)Linux內(nèi)核安全補(bǔ)丁審核流程進(jìn)行“義務(wù)滲透測(cè)試”，結(jié)果該校被Linux社區(qū)“永久封禁”，在安全業(yè)界掀起軒然大波，由于該事件涉及華人學(xué)者和安全研究倫理，引來不少專業(yè)性不強(qiáng)但誤導(dǎo)性和煽動(dòng)性很強(qiáng)的科普自媒體熱炒，例如此類流量標(biāo)題：“華人學(xué)者往Linux內(nèi)核提交bug，社區(qū)把整個(gè)明尼蘇達(dá)大學(xué)拉黑了”。

1. “夫妻檔”把守萬億美元開源經(jīng)濟(jì)安全

安全牛認(rèn)為，明尼蘇達(dá)大學(xué)在“用補(bǔ)丁bug幫Linux挖掘流程bug”事件中扮演的角色，無非就是皇帝的新裝中的那個(gè)“不懂事”的小孩。作為曾提交過近200個(gè)Linux內(nèi)核有效補(bǔ)丁的Linux內(nèi)核代碼安全頂級(jí)專家，盧康杰教授為何“突發(fā)奇想”，決定跳出代碼范疇測(cè)試一下流程bug?

事實(shí)上，作為萬億美元開源經(jīng)濟(jì)基石的Linux，其“安全債務(wù)”遠(yuǎn)比明尼蘇達(dá)大學(xué)暴露出的補(bǔ)丁審核流程缺陷要嚴(yán)重和可怕得多。

根據(jù)安全牛此前的報(bào)道，直到今年2月份獲得Google資助，偌大一個(gè)Linux社區(qū)才首次擁有了兩位全職網(wǎng)絡(luò)安全人員(一對(duì)夫妻)。換而言之，Linux社區(qū)此前壓根沒有專職安全人員，所有的安全工作都是開發(fā)人員兼職。

Linux社區(qū)斥責(zé)明尼蘇達(dá)大學(xué)的安全研究團(tuán)隊(duì)浪費(fèi)了Linux安全人員的時(shí)間，那么我們來看看Linux的“夫妻檔”和“兼職人員”的時(shí)間為什么會(huì)這么金貴。

根據(jù)Linux開源安全基金會(huì)(OpenSSF)與哈佛大學(xué)創(chuàng)新科學(xué)實(shí)驗(yàn)室(LISH)今年一季度合作發(fā)布的報(bào)告，Linux的開發(fā)維護(hù)人員約有2萬人，其中很多人口頭上對(duì)安全有些興趣，但實(shí)際投入(時(shí)間)極少。而宣布拉黑明尼蘇達(dá)大學(xué)的Linux內(nèi)核維護(hù)者Greg Kroah-Hartman之所以暴跳如雷，是因?yàn)椤癓inux高級(jí)內(nèi)核開發(fā)人員每天要審核幾百個(gè)代碼提交，忙得要命”。顯然，對(duì)于高級(jí)攻擊者而言，這種抱怨本身就是一個(gè)大bug。

調(diào)查顯示，盡管三分之二的Linux開發(fā)維護(hù)人員都意識(shí)到補(bǔ)丁修復(fù)程序是Linux安全的頭號(hào)威脅，但是，只有2.3%的受訪開發(fā)人員表示愿意花時(shí)間在與安全有關(guān)的活動(dòng)上。更多的開發(fā)人表示，他們希望在持續(xù)集成流程中添加與安全性相關(guān)的工具(25%)、以及提供安全開發(fā)相關(guān)免費(fèi)課程(18%)。

總而言之，毫不夸張地說，在軟件供應(yīng)鏈和開源安全威脅快速增長的今天，Linux開源社區(qū)嚴(yán)重匱乏的安全資源、糟糕的安全實(shí)踐和安全策略已經(jīng)成為數(shù)字化時(shí)代全人類的一顆“核地雷”。

Linux補(bǔ)丁門事件無論結(jié)果如何，對(duì)開源軟件安全研究和Linux開源社區(qū)的安全建設(shè)都會(huì)有著深遠(yuǎn)影響。

2. 明尼蘇達(dá)大學(xué)與Linux社區(qū)重啟對(duì)話

根據(jù)最新消息，明尼蘇達(dá)大學(xué)和Linux社區(qū)已經(jīng)重新展開對(duì)話和協(xié)商，僵局有望得到化解。

上周末Linux基金會(huì)高級(jí)副總裁兼項(xiàng)目總經(jīng)理Mike Dolan給明尼蘇達(dá)大學(xué)寫信提出重獲信任的要求，這些要求包括Linux社區(qū)要求研究人員Qiqi Wu和Aditya Pakki、以及他們的研究生顧問盧康杰為Linux內(nèi)核補(bǔ)丁的錯(cuò)誤道歉并采取具體措施：

如您所知，Linux基金會(huì)和Linux基金會(huì)的技術(shù)顧問委員會(huì)已于上周五向您的大學(xué)致信，概述了為了使您的小組和您的大學(xué)能夠重新獲得對(duì)基金會(huì)的信任而需要采取的具體措施。

這些具體措施包括：

盡快向公眾提供識(shí)別明尼蘇達(dá)大學(xué)實(shí)驗(yàn)提交的漏洞代碼相關(guān)的識(shí)別信息。該信息應(yīng)包括每個(gè)目標(biāo)軟件的名稱、提交信息、提交者的名稱、電子郵件地址、日期時(shí)間、主題和代碼，以便所有軟件開發(fā)人員可以快速識(shí)別此類代碼并可能采取補(bǔ)救措施。

UMN教授兼計(jì)算機(jī)科學(xué)與工程學(xué)系系主任Mats Heimdahl回信接受處理結(jié)果，他表示學(xué)校對(duì)Linux基金會(huì)的要求表示贊賞，他們期待達(dá)成“共同滿意的解決方案”，彼此重新接觸。郵件原文如下:

目前，我們正在考慮您的要求，并會(huì)盡快采取行動(dòng)，以針對(duì)您的要求做出實(shí)質(zhì)性回應(yīng)。特別是，該安全研究小組正在準(zhǔn)備致Linux社區(qū)的一封信，我們目前正試圖獲得同意，以公布該小組有關(guān)代碼提交的所有信息。一旦我們有機(jī)會(huì)研究剩余的問題，我們將很高興有機(jī)會(huì)與您見面討論并向前邁進(jìn)。

Dolan還代表Linux開發(fā)人員社區(qū)要求盧康杰研究團(tuán)隊(duì)撤回IEEE論文：“關(guān)于通過Hypocrite Commits項(xiàng)目在開源軟件中引入漏洞的可行性論文之所以被要求撤回，是因?yàn)檠芯咳藛TWu Qiushi和Aditya Pakki及其研究生顧問盧康杰教授在未經(jīng)許可的情況下對(duì)Linux內(nèi)核維護(hù)者進(jìn)行了試驗(yàn)。因此，應(yīng)撤回該論文。”

對(duì)此，盧康杰教授在公開聲明表示已經(jīng)撤回原定在第42屆IEEE安全與隱私研討會(huì)上發(fā)表的論文“關(guān)于通過偽造補(bǔ)丁秘密引入開源軟件漏洞的可行性”。

盧康杰表示撤回的原因有兩個(gè)：

• 首先，我們?cè)谶M(jìn)行研究之前沒有與Linux內(nèi)核社區(qū)合作而犯了一個(gè)錯(cuò)誤。我們現(xiàn)在知道，使其成為我們的研究主題，并在未經(jīng)其知情或許可的情況下浪費(fèi)精力來審查這些補(bǔ)丁對(duì)社區(qū)是不適當(dāng)?shù)模沂且环N傷害。我們現(xiàn)在意識(shí)到，進(jìn)行此類工作的適當(dāng)方法是事先與社區(qū)負(fù)責(zé)人進(jìn)行接觸，以便他們了解工作，批準(zhǔn)(研究項(xiàng)目的)目標(biāo)和方法，并在工作完成和完成后能夠支持方法和結(jié)果再發(fā)表。因此，我們撤回該論文，以使我們不會(huì)從不當(dāng)?shù)难芯恐惺芤妗?/li>
• 其次，鑒于我們方法的缺陷，我們不希望本論文成為如何在Linux社區(qū)中進(jìn)行類似研究的模型。相反，我們希望這一事件對(duì)我的社區(qū)來說是一個(gè)學(xué)習(xí)的時(shí)刻，由此產(chǎn)生的討論和建議可以作為將來進(jìn)行適當(dāng)研究的指南。因此，我們撤回該論文是為了防止我們誤導(dǎo)的研究方法被視為將來進(jìn)行研究的模型。對(duì)于我們的研究小組對(duì)Linux內(nèi)核社區(qū)、IEEE安全與隱私研討會(huì)、我們的部門和大學(xué)以及整個(gè)社區(qū)的聲譽(yù)所造成的任何傷害，我們深表歉意。

根據(jù)Heimdahl和盧康杰的公開信，似乎明尼蘇達(dá)大學(xué)已同意Linux 基金會(huì)的主要要求，但仍有許多細(xì)節(jié)問題需要解決。但至少目前看來，明尼蘇達(dá)大學(xué)、Linux基金會(huì)和Linux內(nèi)核開發(fā)人員社區(qū)已經(jīng)“重啟和談”，這意味著將來明尼蘇達(dá)大學(xué)可以(在符合約定或規(guī)范的前提下)重新進(jìn)行類似研究，而Linux內(nèi)核維護(hù)人員也可以不用擔(dān)心被虛假補(bǔ)丁浪費(fèi)寶貴的工作時(shí)間。

戳這里，看該作者更多好文

標(biāo)題名稱：Linux補(bǔ)丁門后繼：明尼蘇達(dá)大學(xué)與Linux社區(qū)打破僵局
轉(zhuǎn)載來于：http://www.dlmjj.cn/article/codeoje.html