Linux基金会对明尼苏达大学的要求

2021-04-28 11:06:11

要说,Linux内核开发商在一个明尼苏达大学(UMN)的研究生毕业生,在研究论文&#34的目的上将安全漏洞插入Linux内核的研究生。伪君子犯下的秘密介绍开源软件漏洞的可行性。是一个粗略的轻描淡写。

Greg Kroah-Hartman,Linux内核维护者为稳定的分支,众所周知,是Linux内核维护者的最慷慨和随和,爆炸和禁止的Umn开发人员从Linux内核工作。那是因为他们的补丁已经是"显然以恶意提交,意图造成问题。"

研究人员,邱山武和达迪亚帕基及其研究生顾问,康佳·卢,副议员,副手们,副教授&然后,UMN的工程部门为他们的Linux内核空白道歉。

那个'还不够。 Linux内核开发人员和Linux Foundation' S技术咨询委员会通过Linux Foundation要求Umn在他们的人民再次贡献Linux之前采取具体行动。我们现在知道这些需求是什么。

来自Mike Dolan,Linux Foundation' S高级副总裁和项目总经理的信,开始:

我们注意到,一些明尼苏达大学(MN)的研究人员似乎一直在尝试人们,特别是Linux内核开发人员,没有那些开发人员'事先知识或同意。这是通过提出已知易受攻击的代码来完成广泛使用的Linux内核作为工作的一部分和#34;通过伪君子犯下的开源软件悄悄地引入漏洞的可行性;;其他论文和项目也可能涉及。似乎这些实验尚未通过由机构审查委员会(IRB)的事先审查或批准,这是不可接受的,而且事后的IRB审查批准了对没有同意的人的实验。

这是对的。吴和鲁通过陈述:"我们最近完成了研究OSS修补过程的工作。"他们只询问IRB' D在他们&#39之后的许可.D在Twitter上分享了纸张' s摘要。然后在他们承认抽象'出版物造成"加热讨论和推送,"他们删除了抽象并向IRB道歉,因为造成了"许多困惑和误解。"

虽然IRB似乎已经批准了这项研究,但Linux内核社区没有保存在循环中。研究人员声称他们与Linux社区的人交谈,但他们从未被发现过。因此,Kroah-Hartman'当更多时,他被展示了"胡说补丁"另一种尝试浪费Linux内核维护者'时间由"继续尝试内核社区开发人员。"

我们鼓励和欢迎研究,以改善安全和安全审查流程。 Linux内核开发过程采取措施查看代码以防止缺陷。但是,我们相信没有同意的人的实验是不道德的,并且可能涉及许多法律问题。人们是软件审查和开发过程的一个组成部分。 Linux内核开发人员不是测试科目,不得因此不得不这样。

这是一个重点。研究人员首先在他们的IRB常见问题解答:"这不被视为人类研究。该项目研究了修补过程而不是单个行为的一些问题,我们没有收集任何个人信息。"

"在整个研究中,我们诚实地没有认为这是人类研究,所以我们在开始时我们没有申请IRB批准。对于提出的问题,我们深表歉意。这是我们学到的重要课程 - 不要相信自己决定人类研究;每当学习可能涉及任何形式的人类受试者时,始终指的是IRB。"

这也浪费了他们宝贵的时间,并冒着依靠其结果的数十亿人冒险。虽然MN研究人员声称采取措施防止在最终软件中包含漏洞,但他们未能获得同意表明缺乏护理。还有扩大的后果,因为Linux内核更改被填充了内核代码库构建的许多其他下游项目。

然后我们得到了这个问题的核心。虽然Dolan表示,UMN研究人员'道歉是有前途的,Linux社区需要更多。或者,随着Kroah-Harman的直言不讳:

如您所知,Linux基金会和Linux Foundation' S技术咨询委员会周五向您的大学提交了一封信,概述了为您的集团和您的大学为您的大学而努力工作的具体行动重新获得Linux内核社区的信任。

在采取这些行动之前,我们没有进一步讨论这个问题的任何东西。

请以加急的方式向公众提供所有信息,以确定来自MN实验的任何U的已知易受攻击的代码所需的所有建议。这些信息应包括每个目标软件的名称,提交信息,据称提议者的名称,电子邮件地址,日期/时间,主题和/或代码,以便所有软件开发人员可以快速识别此类提案并可能采取补救措施对于这样的实验。

找到所有这些代码是一个真正的问题。 Renux高级Linux Kernel Developer,Al Viro,他发现了第一个4月份的Bogus补丁,注意到:"缺乏数据是什么' s吹除了比例之外的一部分 - 如果他们打扰了Sha1的列表(或链接到Sha1的实验,或者更好地维护,并提供所有提交的邮件ID列表,成功,而不是,这款混乱与毯子还原请求等。 ' ve越小(如果发生在发生)。"

就像它一样,Linux开发人员和提交者现在正在刻录时间审查几百UMN Linux内核补丁。他们并不乐意。

杜兰继续询问本文被撤回"从正式出版和正式介绍,基于这项或类似研究的所有研究工作,如果未经他们事先同意,人们似乎已经在实验。留在互联网上发布的档案信息很好,因为它们主要是公众,但这些作品也不应该没有研究学分。"

感谢纸张'常见问题,我们已经知道IEEE安全和隐私权研讨会已被公布(IEEE S& p)2021.这是计算机安全研究人员的首要论坛。 2021年5月23日至5月27日的虚拟会议将发生。尤文尚未说它是否会被撤销。

Dolan按照实验开始之前,确保对人们的进一步审查有IRB审查。

"确保所有关于人民实验的未来IRB审查通常会确保每年都在实验,每个通常的研究规范和法律,"他说。

此时,UMN没有回应我们的信息请求,了解学校计划的信息。

Dolan说,这一切,是"为了消除这些活动的所有潜力和对损害的看法,消除了这些活动的任何感知的福利,并防止了他们的复发。我们希望在您的学生和教师中看到未来的富有成效,适当的开源贡献,因为我们在您的机构之前的比较。"

Linux基金会希望学校尽快回应这些请求。 Linux维护者也想知道' s与UMN补丁是什么,所以他们可以找到它们并继续前进。他们宁可努力改善Linux,而不是追逐可能故意接种错误。

到目前为止,他们'重新找到任何东西。但是当你'重新指控在地球上保持最重要的操作系统,它比抱歉更安全。