近日，明尼蘇達大學(xué)盧康杰教授的研究團隊對Linux內(nèi)核安全補丁審核流程進行“義務(wù)滲透測試”，結(jié)果該校被Linux社區(qū)“永久封禁”，在安全業(yè)界掀起軒然大波，由于該事件涉及華人學(xué)者和安全研究倫理，引來不少專業(yè)性不強但誤導(dǎo)性和煽動性很強的科普自媒體熱炒，例如此類流量標題：“華人學(xué)者往Linux內(nèi)核提交bug，社區(qū)把整個明尼蘇達大學(xué)拉黑了”。

[[396514]]

1. “夫妻檔”把守萬億美元開源經(jīng)濟安全

安全牛認為，明尼蘇達大學(xué)在“用補丁bug幫Linux挖掘流程bug”事件中扮演的角色，無非就是皇帝的新裝中的那個“不懂事”的小孩。作為曾提交過近200個Linux內(nèi)核有效補丁的Linux內(nèi)核代碼安全頂級專家，盧康杰教授為何“突發(fā)奇想”，決定跳出代碼范疇測試一下流程bug?

事實上，作為萬億美元開源經(jīng)濟基石的Linux，其“安全債務(wù)”遠比明尼蘇達大學(xué)暴露出的補丁審核流程缺陷要嚴重和可怕得多。

根據(jù)安全牛此前的報道，直到今年2月份獲得Google資助，偌大一個Linux社區(qū)才首次擁有了兩位全職網(wǎng)絡(luò)安全人員(一對夫妻)。換而言之，Linux社區(qū)此前壓根沒有專職安全人員，所有的安全工作都是開發(fā)人員兼職。

Linux社區(qū)斥責(zé)明尼蘇達大學(xué)的安全研究團隊浪費了Linux安全人員的時間，那么我們來看看Linux的“夫妻檔”和“兼職人員”的時間為什么會這么金貴。

根據(jù)Linux開源安全基金會(OpenSSF)與哈佛大學(xué)創(chuàng)新科學(xué)實驗室(LISH)今年一季度合作發(fā)布的報告，Linux的開發(fā)維護人員約有2萬人，其中很多人口頭上對安全有些興趣，但實際投入(時間)極少。而宣布拉黑明尼蘇達大學(xué)的Linux內(nèi)核維護者Greg Kroah-Hartman之所以暴跳如雷，是因為“Linux高級內(nèi)核開發(fā)人員每天要審核幾百個代碼提交，忙得要命”。顯然，對于高級攻擊者而言，這種抱怨本身就是一個大bug。

調(diào)查顯示，盡管三分之二的Linux開發(fā)維護人員都意識到補丁修復(fù)程序是Linux安全的頭號威脅，但是，只有2.3%的受訪開發(fā)人員表示愿意花時間在與安全有關(guān)的活動上。更多的開發(fā)人表示，他們希望在持續(xù)集成流程中添加與安全性相關(guān)的工具(25%)、以及提供安全開發(fā)相關(guān)免費課程(18%)。

總而言之，毫不夸張地說，在軟件供應(yīng)鏈和開源安全威脅快速增長的今天，Linux開源社區(qū)嚴重匱乏的安全資源、糟糕的安全實踐和安全策略已經(jīng)成為數(shù)字化時代全人類的一顆“核地雷”。

Linux補丁門事件無論結(jié)果如何，對開源軟件安全研究和Linux開源社區(qū)的安全建設(shè)都會有著深遠影響。

2. 明尼蘇達大學(xué)與Linux社區(qū)重啟對話

根據(jù)最新消息，明尼蘇達大學(xué)和Linux社區(qū)已經(jīng)重新展開對話和協(xié)商，僵局有望得到化解。

上周末Linux基金會高級副總裁兼項目總經(jīng)理Mike Dolan給明尼蘇達大學(xué)寫信提出重獲信任的要求，這些要求包括Linux社區(qū)要求研究人員Qiqi Wu和Aditya Pakki、以及他們的研究生顧問盧康杰為Linux內(nèi)核補丁的錯誤道歉并采取具體措施：

如您所知，Linux基金會和Linux基金會的技術(shù)顧問委員會已于上周五向您的大學(xué)致信，概述了為了使您的小組和您的大學(xué)能夠重新獲得對基金會的信任而需要采取的具體措施。

這些具體措施包括：

盡快向公眾提供識別明尼蘇達大學(xué)實驗提交的漏洞代碼相關(guān)的識別信息。該信息應(yīng)包括每個目標軟件的名稱、提交信息、提交者的名稱、電子郵件地址、日期時間、主題和代碼，以便所有軟件開發(fā)人員可以快速識別此類代碼并可能采取補救措施。

UMN教授兼計算機科學(xué)與工程學(xué)系系主任Mats Heimdahl回信接受處理結(jié)果，他表示學(xué)校對Linux基金會的要求表示贊賞，他們期待達成“共同滿意的解決方案”，彼此重新接觸。郵件原文如下:

目前，我們正在考慮您的要求，并會盡快采取行動，以針對您的要求做出實質(zhì)性回應(yīng)。特別是，該安全研究小組正在準備致Linux社區(qū)的一封信，我們目前正試圖獲得同意，以公布該小組有關(guān)代碼提交的所有信息。一旦我們有機會研究剩余的問題，我們將很高興有機會與您見面討論并向前邁進。

Dolan還代表Linux開發(fā)人員社區(qū)要求盧康杰研究團隊撤回IEEE論文：“關(guān)于通過Hypocrite Commits項目在開源軟件中引入漏洞的可行性論文之所以被要求撤回，是因為研究人員Wu Qiushi和Aditya Pakki及其研究生顧問盧康杰教授在未經(jīng)許可的情況下對Linux內(nèi)核維護者進行了試驗。因此，應(yīng)撤回該論文。”

對此，盧康杰教授在公開聲明表示已經(jīng)撤回原定在第42屆IEEE安全與隱私研討會上發(fā)表的論文“關(guān)于通過偽造補丁秘密引入開源軟件漏洞的可行性”。

盧康杰表示撤回的原因有兩個：

• 首先，我們在進行研究之前沒有與Linux內(nèi)核社區(qū)合作而犯了一個錯誤。我們現(xiàn)在知道，使其成為我們的研究主題，并在未經(jīng)其知情或許可的情況下浪費精力來審查這些補丁對社區(qū)是不適當(dāng)?shù)?，而且是一種傷害。我們現(xiàn)在意識到，進行此類工作的適當(dāng)方法是事先與社區(qū)負責(zé)人進行接觸，以便他們了解工作，批準(研究項目的)目標和方法，并在工作完成和完成后能夠支持方法和結(jié)果再發(fā)表。因此，我們撤回該論文，以使我們不會從不當(dāng)?shù)难芯恐惺芤妗?/li>
• 其次，鑒于我們方法的缺陷，我們不希望本論文成為如何在Linux社區(qū)中進行類似研究的模型。相反，我們希望這一事件對我的社區(qū)來說是一個學(xué)習(xí)的時刻，由此產(chǎn)生的討論和建議可以作為將來進行適當(dāng)研究的指南。因此，我們撤回該論文是為了防止我們誤導(dǎo)的研究方法被視為將來進行研究的模型。對于我們的研究小組對Linux內(nèi)核社區(qū)、IEEE安全與隱私研討會、我們的部門和大學(xué)以及整個社區(qū)的聲譽所造成的任何傷害，我們深表歉意。

根據(jù)Heimdahl和盧康杰的公開信，似乎明尼蘇達大學(xué)已同意Linux 基金會的主要要求，但仍有許多細節(jié)問題需要解決。但至少目前看來，明尼蘇達大學(xué)、Linux基金會和Linux內(nèi)核開發(fā)人員社區(qū)已經(jīng)“重啟和談”，這意味著將來明尼蘇達大學(xué)可以(在符合約定或規(guī)范的前提下)重新進行類似研究，而Linux內(nèi)核維護人員也可以不用擔(dān)心被虛假補丁浪費寶貴的工作時間。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文