这番言论惹怒了Linux内核管理员Greg。
他表示,自己将会禁止明尼苏达大学对Linux内核做出贡献,并会取消这一研究小组此前所有的贡献,因为这些提交“显然都是恶意的行为”。
Greg在社交媒体上表示:“这样做是浪费开源社区的时间,Linux内核开发者们不喜欢被试验。”
那么,为什么要拉黑整个明尼苏达大学呢?
社区认为,明尼苏达大学竟然会让这种研究获得IRB Exempt,证明学校并不在乎开源社区、甚至可能是故意的。
现在,明尼苏达大学计算机科学与工程系官方已出面调查此事:
我们立即暂停了这项研究,目前正在调查这项研究所用的方法、以及研究的审批过程,以采取适当补救措施,防止将来发生其他问题。调查结果将尽快反馈给社区。
具体来说,将会重新调查这一研究获得IRB的过程,是否具有争议。
目前,K.J Lu教授已经针对此事进行回应:
抱歉这件事引起了极大的关注度,上次有关“分析开源软件漏洞”的研究,已在2020年11月份结束。这次提交的错误代码,来自一个新项目,并非我们有意为之。
针对这件事本身,高级Linux内核开发、谷歌工程师Ted t’so认为,这里面最关键的问题在于,Lu教授和他的团队并未对自己此前的研究表示愧疚:
更糟糕的是,明尼苏达大学的IRB机构认为,Lu教授的研究不属于人体试验,因此不受控制。这样的话,禁止全校对Linux内核社区做贡献,可能是唯一的选择。
据ZDNet报道,不少Linux社区的开发者和管理员,都持有这样的看法。
针对教授研究的内容本身,Red Hat的科技策略分析师Jered Floyd则认为,关于“分析开源软件漏洞”的这项研究,确实“不太道德”:
这已经不仅仅是“被试验”了。就像是你自称“安全研究员”,但却去百货商店里剪断了所有汽车的刹车线,看看有多少人会遇上撞车事故。
针对大学的机制,也有网友表示,部分大学的IRB审查机制,还应该进一步完善:
有的学校审查机制真的很严格,有的却根本不太管这些事情。
当然,也有网友认为,Linux也应该采取更安全的方式进行代码贡献:
在这件事情中,双方都应该汲取教训。
争议论文:
https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
对论文的声明:
https://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf
参考链接:
[1]https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021
[2]https://www.zdnet.com/article/greg-kroah-hartman-bans-university-of-minnesota-from-linux-development-for-deliberately-buggy-patches/
[3]https://news.ycombinator.com/item?id=26887670
[4]https://lore.kernel.org/linux-nfs/YH%2FfM%2FTsbmcZzwnX@kroah.com/
“
