2021年,明尼苏达大学(UMN)研究人员提交的一个有问题的补丁在内核开发社区引起风波,因存在故意植入漏洞的嫌疑。几个月后的维护者峰会上,社区对此进行了回顾,探讨如何避免类似问题。UMN已道歉,并寻求重新参与内核开发,Greg Kroah-Hartman正起草指导文档。会议讨论了代码质量问题和安全审查的重要性,强调了对恶意行为和意外漏洞的防范。参会者还提到,尽管存在安全漏洞,但社区需要更好地检测和处理这些问题,无论是否故意为之。
关注了就能看到更多这么棒的文章哦~
Looking back at the UMN episode
By Jonathan Corbet
September 27, 2021
DeepL assisted translation
Maintainers summit
https://lwn.net/Articles/870415
Looking back at the UMN episode
今年早些时候,一个由明尼苏达大学(UMN)研究人员发送的 bad patch 在内核开发社区内引发了一场危机,因为当时人们知道了 UMN 有一些 patch(不是这一个)是在尝试故意在内核中插入漏洞。在这一事件被解决的几个月之后,2021 年的维护者峰会(2021 Maintainers Summit)重新审视了这一问题,看看是否有什么可以从中吸取的教训。
Greg Kroah-Hartman 首先贴出了一个他和 David Wheeler 就 UMN 事件所做的演讲的链接。他对这一事件的描述是 "这所大学发了一些垃圾 patch,被我们抓出来了"。他说,社区现在已经基本了结了这个问题。大学道歉了,与此同时,更广大范围的安全社区因为多年来一直在担心特洛伊木马补丁(Trojan-horse patch)会带来的问题,因此很感谢这一次把问题暴露出来,让人们开始思考这种问题。
最近,UMN 已经联系了内核开发者,询问如何才能重新开始参与内核社区的工作。Kroah-Hartman 已经让他们与一位内核开发者取得联系,由他来给他们提供指导。他正在写一份关于研究小组应该如何与开发社区合作的文件,答应在周末发布这个草案。
Kees Cook 指出,UMN 社区很大,已经有很多贡献者都与其有关。4月份的时候出现的是两个问题:UMN 的代码质量普遍偏低,以及有一位开发者的错误行为。他说,其实那个行为者也不是真正出于恶意,"仅仅是不懂而已(just dumb)",但 UMN 中没有人能及时发现他的做法。Kroah-Hartman 说,这个插曲提醒了很多人:我们很幸运,因为我们可以抓住了这个问题。他还为对 UMN 的研究人员的怒吼表示了道歉。他说,他每年总会有一次控制不住自己的怒火,而今年就是这个时候了。
Ted Ts'o 说,大家聚在一起应该要考虑那些更加普遍的代码质量问题,以及要考虑清楚在代码提交之前和之后需要对安全给予多大程度的关注。他提到在刚刚合并的 ksmbd file server 中发现了一系列各种类型的安全问题,显然,在这个话题蔓延到 linux-kernel mailing list 之前,这些问题已经在私下里讨论了一段时间。他说:"我们仍在继续将安全漏洞引入内核,这一点似乎不太可能改变。
Kroah-Hartman 随后声称自己写的安全漏洞比任何人都多。通常来说,核心开发者要对内核中的大部分安全问题负责。他说,我们都是 "已知的善意参与者,却意外地写出了有破坏性的东西"。Cook 表示同意,错误的产生几乎完全是 "根据体量来的",也就是说,开发人员写的代码越多,他们产生的错误就越多。
Ts'o 试图将话题带回到恶意行为者身上,他指出 UMN 的开发者在试图向内核添加漏洞方面的做法 "并不聪明"。但如果有更聪明隐蔽的恶意行为者怎么办呢?他说,唯一的解决办法是用更好的工具来尝试检测安全问题。Kroah-Hartman 在会议结束时说,社区必须要能够更好地捕捉我们创造出来的所有 bug,而不用去管它们是否是故意的。
全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。
欢迎分享、转载及基于现有协议再创作~
长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
