開源軟體由於其公開性，能夠被大量開發人員驗證，所以一向被認為是安全的。

但即便是如「空氣」一般無所不在的linux，也不見得是完全安全的！

來自明尼蘇達大學的研究者就成功向開源社群（主要是Linux）提交了多個看似是修正補丁的漏洞。

這種研究方法引來Linux維護人員的憤怒，Linux 核心社群撤銷了之前他們提交的所有 Linux 核心程式碼。除了禁止明尼蘇達大學對上游核心的貢獻之外，Greg Kroah-Hartman還計劃回滾所有umn。edu的補丁，涉及到190個歷史補丁程式碼。

這項研究的主要人員Kangjie Lu， Qiushi Wu和Aditya Pakki於4月24日晚在Linux社群發表公開信，信中表示他們已經認識到了這項研究的危害性，繼續重申其他明尼蘇達大學研究人員的補丁是真誠無害的，和本次專案無關。

公開信除了道歉還有什麼

信中首先表示「hypocrite commits」論文中的研究方法是不合適的，浪費了開源社群的資源，並且沒有事先徵得Linux維護人員的同意。

hypocrite commits 這項工作從 2020 年 8 月開始研究，主要目的是提升Linux補丁的安全性，這項研究主要的貢獻在於找到現在風險的原因並解決他們。

作者認為這項工作並沒有

大眾

認為的危害性：

1、沒有引入有危害的程式碼。三個錯誤的補丁也只是在社群中進行討論，並且在論文發表前已經向Linux社群報告過這些問題。

2、190個無辜的補丁並沒有參與到我的工作中，他們確實是為了解決linux存在的bug而提交的。

3、最新的補丁是2021年4月提交的，並沒有在hypocrite commits專案中，而是一個新的專案，用來自動找到其他人提交補丁中的bug用的。

作者也表示在學術研究方面被「上了一課」。

最後作者希望能夠與Linux社群重建良好的關係，並且研究的出發點確實是想要為開源社群的安全性做貢獻，只是沒想到事情發展成這樣。

對於這封公開信，GKH也表示在明尼蘇達大學採取行動之前，無需更多的討論。

為何會引發眾怒

開源專案的維護建立在信任的基礎上，開發者與維護者秉持著對程式的熱愛來開發維護。

對於Linux核心來說，維護者相信開發者的動機是改善Linux kernel的質量，而開發者也需要說明自己確實是改善了核心。

如果沒有了這種信任，那麼每一次對kernel的提交都要進行完善的安全審查，對於類似Linux kernel這樣龐大的，維護人員又不多的專案來說幾乎是不現實的。

而明尼蘇達的研究專案在未經他們同意的情況下，耗費了維護人員大量的時間，只是為了證明「這種信任很脆弱」。

Linux kernel維護人員GKH警告研究人員停止提交已知無效的補丁，並認為他們是在以一種玩弄評審人員的方式來完成論文。這是錯誤的，浪費了維護人員的時間，我們要和明尼蘇達大學報告此事。

但研究人員Aditya Pakki迴應稱「我要求你停止進行近乎誹謗的瘋狂指責。我傳送補丁的目的是希望得到反饋。我們不是Linux核心方面的專家，反覆發表這些言論讓人聽了很反感。

顯然，這個步驟是錯誤的，但你的先入為主的偏見是如此強烈，以至於你提出的指控毫無根據，也不給我們辯解（無罪推定）的任何機會。這種態度不僅不受歡迎，而且對新手和非專家也是一種恐嚇，因此我將不會再發送任何補丁。」

因此，這也不難理解為什麼GKH如此憤怒，以至於要把明尼蘇達的所有研究人員的提交都刪除。

參考資料：

https：//lore。kernel。org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail。gmail。com/T/#u