明尼苏达大学被禁止参与Linux内核开发

投稿：WS
原文：https://www.theverge.com/2021/4/22/22398156/university-minnesota-linux-kernal-ban-research

在发现来自明尼苏达大学的研究员故意提交有安全缺陷的代码后，一位Linux内核管理员已禁止此学院参与内核开发。

今年早些时候，为了演示怎么绕过审核机制提交潜在的恶意代码，两名来自此学院的研究员发表了一篇论文，详细谈及他们如何向Linux内核，提交有安全缺陷的代码。最近，又一名来自该学院的学生提交了据说是毫无作用的代码，内核维护管理员Greg Kroah-Hartman(同时也是内核创始人之一)已发表声明，呼吁其他内核管理员拒绝来自该学院(明尼苏达大学)邮箱地址(umn.edu)提交的代码。

除了不接受来至自该学院的新代码，所有该学院过去已提交的代码都正在被移除或重新审核。这看起来是个巨大的工作，但是Kroah-Hartman明确地说，开发者社区不喜欢被“作为试验品”，同时所有该学院代码都因为这个研究(指前面‘绕过审核机制提交潜在的恶意代码’的项目)被置于疑问。

明尼苏达大学已声明说，注意到这个研究和它带来的“禁止令”。学院已经停止了这项研究，并正调查此项目是怎么通过审批和开展的。

为了澄清此研究，项目研究人员(‘绕过审核机制提交潜在的恶意代码’的项目)说，他们主要是为了使人们注意到，这个代码提交机制的漏洞，可以让有‘安全缺陷’的代码(包括故意编写的潜在恶意代码)溜过。内核开发者 Laura Abbot在博客中反驳了这种说法，说有缺陷的代码能通过审核，在开源软件社区是早就知道的。一条像是私人信息中，那位提交‘毫无作用’代码的研究人员说，Kroah-Hartman对其代码的指控，是毫无根据的，接近“诽谤”。

现在不清楚引起这次争议的代码(指那个“毫无作用”的代码)是不是此研究(‘绕过审核机制提交潜在的恶意代码’的项目)的一部分。提交代码的人的确是用学院的邮箱地址(umn.edu)，但是研究项目的补丁代码是通过随机Gmail地址提交的，而且代码提交者声称这些有缺陷的代码是工具软件生成的。Kroah-Hartman回应说，他发现这不可能是工具软件生成，而且基于这个研究项目的本质，他也不相信这代码是带有善意的。

在开源开发社区，也有一些批评的声音说，Kroah-Hartman的‘禁止令’是反应过度了，会导致被正常补丁代码修正的缺陷(bugs)再次出现。然而，值得提到的是，‘禁止令’是重新审核补丁代码，如果没问题会重新应用。