美国华人教授故意向Linux提交200个安全漏洞！结果整所大学被封杀

　　最近，Linux操作系统（ 从手机到主要系统server，到处都在用的操作系统 ）惊现的200+个bug（恶意代码），让美国码农圈 炸了。
　　开发和维护Linux操作系统的技术大神Greg Kroah-Hartman，不仅直接爆粗，甚至把美国明尼苏达大学拉进黑名单了，并放言：
　　＂以后明尼苏达大学提交的代码，都！ 不！再！接！受！＂
　　图片来源于lore.kernel，版权属于原作者
　　这还没完，为了表达自己态度坚决，Greg还一口气，将明尼苏达大学以前提交的代码 全部作废 ，表示以后要挨个审查。
　　闹这么大，这到底是咋了啊?
　　这一切的一切，还得从明尼苏达大学的华人助理教授Kangjie Lu和他的博士生Qiushi Wu说起。
　　原来Lu教授和博士生Wu在这几年内，连续向Linux Kernel发送了 200 多个有bug的恶意代码。
　　背后的原因，竟是为了 测试开源社区的审查能力 ，完成一篇探讨开源社区安全漏洞的论文。
　　图片来源于github，版权属于原作者
　　刚开始，Linux的维护人员对这波操作，没怎么注意。
　　然后，重点来了。
　　别人没发现，但他们 自！爆！了！
　　在去年11月，Kangjie Lu 教授将他们这篇论文的摘要，发到了twitter上，一下引起多方的质疑。
　　摘要中，作者提及，论文的重点是研究在Linux内核为例的开源代码中植入＂恶意或不安全的＂代码导致的安全风险。
　　虽然整个过程都是以研究的目的，但要知道，这种＂恶意＂代码，对于Linux官方代码库来说，都是 安全漏洞 。
　　也就是说，这些代码完全没有价值的。
　　图片来自hothardware
　　这可把维护人员惹火了
　　＂我们每天都得审查几百个代码，忙的团团转，他们却为了自己写论文，把我们当工具人，拿来做试验？？太自私了，这 白白浪费 我们的时间＂
　　眼看形势不对，随后Lu 教授就将这篇摘要删了。
　　然后对自己的研究，做了 声明：
　　1.我们从来没有在提交的代码中合并 bug，这篇论文正在论证这类问题存在的可能性；
　　2.我们的做法是这样的：首先发现真正的 bug A，然后提交补丁 A 来修复 bug A，这也将引入 bug B；所以，我们还会在合并 bug B 之前提交补丁 B 来修复它。换句话说，我们通过两步来修复 bug A。
　　3.在提交前，这些发现已经 提前报告 给了 Linux维护人员；
　　4.我们 没有 对任何 Linux 用户造成伤害，实际上我们还修复了这些 bug；
　　5.本研究的目的是通过 提高人们对补丁问题的认知 来改进修补过程，从而激励人们开发自动补丁检测/验证工具。
　　可能担心这样的解释不够正式，12月Lu教授研究团队还发表了一份正式声明。
　　图片来源于www-users.cs.umn.edu，版权属于原作者
　　表示他们研究的目的是为了提高开源软件的安全性。
　　所有的补丁建议都是通过电子邮件交流提出来的，从来没有合并进任何代码分支和Linux内核中。
　　总之一句话，就是这项研究 没有恶意 。
　　目的只是为了改进Linux内核  。
　　对于研究浪费了审查人员的时间，研究团队也是倍感抱歉。
　　态度诚恳，也表明了是研究目的。
　　虽然为了研究的试验，操作过程确实有点恶心Linux审查人员，但也不至于让整个明尼苏达大学，一起被拉黑啊！
　　其实，Lu 教授论文这事也就只是一个引子。
　　真正引爆整个Linux 社区的是，明尼苏达大学一名叫Aditya Pakki的在读博士生。
　　今年4月，Aditya Pakki向Linux内核提交了一个小补丁。
　　这个看似简单的补丁，却一下引起了众多大佬关注。
　　在经过谷歌首席软件工程师、Linux内核社区的贡献者之一Al Viro的审查后。
　　图片来源于twitter，版权属于原作者
　　这个代码有问题。
　　而在起底Aditya Pakki的背景后，Linux社区成员发现，这Aditya Pakki不就正是，之前＂有前科＂的Kangjie Lu教授小组成员嘛？
　　这难道是在历史重演？
　　根据之前的种种，Linux社区成员认定Aditya Pakki提交的补丁，具有 恶意 。
　　于是，将它们全部移除。
　　BUT对于Linux社区成员的指责，Aditya Pakki 可不认，直接表示＂
　　＂这些看法是 先入为主 ，都是诽谤。＂
　　＂我发送补丁只是为了得到反馈，但是鉴于你们对新人以及非专家的恶劣态度，我以后不会在发送任何补丁。＂
　　图片来源于bleepingcomputer，版权属于原作者
　　这样毫无歉意的回复，一下就惹毛了Linux内核管理员Greg。
　　那就别怪我不客气了。
　　一怒之下，Greg直接表示，禁止 明尼苏达大学 对Linux提交代码，之前他们的提交的代码全部作废，因为它们显然是恶意提交的。
　　图片来源于lore.kernel，版权属于原作者
　　我们有太多的工作要做，Linux内核开发人员不喜欢被试验。
　　一个小组惹的祸，竟让整个学校来背锅。
　　这样的结果，事件主角之一的Lu 教授也是没想到。
　　为了澄清事实，Lu 教授随后出来发了声。
　　上次关于＂分析开源软件漏洞＂的研究，已在2020年11月完成。Aditya这次在补丁中发现的bug，来自一个新项目，并非有意为之。
　　随后，明尼苏达大学计算机科学与工程系官方也出来，表示将调查此事。
　　我们非常重视这一情况，我们立即暂停了这项研究，将调查研究方法和审核过程，以采取适当的补救方法，以防止未来再出现问题。
　　而另一边，业内人士，对于Linux内核管理员Greg的重罚，意见也不一致。
　　一方面，大部分Linux社区的开发者和管理员，认为这种研究本身就是不道德的。
　　这已经不是简单的试验了，就像你自称＂安全研究员＂，然后去商店切断所有汽车的刹车线，然后看有多少人在离开时会发生车祸。
　　但也有人认为这＂禁止＂，是不是有点太苛刻。
　　开源安全公司总裁Brad Spengler就表示，去年包括自己在内的多人，就提醒过Linux内核维护者，这些代码可疑了。
　　现在才行动，是不是有点＂过度反应＂＂了。
　　网友评论：
　　--他是国内杀毒公司毕业的吗
　　--好像是在做一个社会学实验，毁灭社会的互信。
　　--还好提交的是恶意代码，不是恶意病毒。
　　--这思路太古怪了，匪夷所思啊，自己造bug解bug发文章。
　　--这不就是去饭店投毒然后美其名曰帮你们测试你们的保安系统吗？！
　　--penetration test有自己业界的规则，不能像他这样胡搞
　　--为了测试刹车系统的安全，直接找人撞，你不能说在撞之前刹住了，没死人就皆大欢喜了。
　　--问城市管理部门我能不能向路边的公众饮水机投放巴豆。管理员说不行，你这是在胡闹，然后继续问。原因是这个人想在知乎写高赞答案＂想公众饮水机投放巴豆，城市管理者会如何处置＂。
　　如今，争吵还在继续，接下来怎么发展，to be continued...