AnteaterSufficient14 | 1 points | Apr 22 2021 07:52:49
蜘蛛的科学精神:向 linux kernel 提交含有漏洞的补丁https://www.solidot.org/story?sid=67561
明尼苏达大学的博士生 Qiushi Wu 和助理教授 Kangjie Lu 发表了论文《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,通过有意向内核递交含有安全漏洞的补丁测试悄悄向开源软件引入漏洞的可行性。两位研究人员称,他们向大学的评审委员会递交了实验申请,因为不涉及人类研究评审会批准了他们的实验。而当他们的补丁获得维护者的积极评价之后,他们立即通知维护者补丁是有漏洞,不要合并存在问题的补丁。他们的论文将在五月举行的 IEEE Symposium on Security and Privacy 虚拟会议上公开发表。Linux 内核社区随后知道了这次实验,但当有更多明尼苏达大学的研究人员递交存在疑问的补丁之后,稳定版内核维护者 Greg Kroah-Hartman 宣布不再接受该大学的任何补丁,称内核开发者不愿意被做实验,内核也不是做实验的地方,研究人员是在浪费维护者的时间。此举也可能是向大学施压,希望评审会不要再批准此类的实验。
明尼苏达大学计算机科学和工程系在获悉它的一名教员和学生因做了向 Linux 内核引入 bug 的研究而导致内核拒绝接受大学补丁之后发表声明,表示对此事非常严肃,已经立即停止了这方面的研究,将对研究方法和批准该研究方法的流程展开调查,确定合适的补救程序,防止未来发生类似的问题。他们会对外公布调查结果。
[-] Icy_Demand_3798 | 11 points | Apr 22 2021 08:13:26
本科一个北大一个中科大的
[-] nn1ght | 1 points | Apr 22 2021 21:17:19
&rt; Kangjie Lu
重庆大学本科,北大硕士,简历上自称来自北大
[-] LAMSTREAM | 11 points | Apr 22 2021 08:34:40
什么华为工程师
[-] RomancingSugar | 9 points | Apr 22 2021 08:22:29
把爷气笑了,支那人真他妈是世界之癌。
[-] TheKeyToSchool | 9 points | Apr 22 2021 08:44:52
我不觉得这个实验有道德问题。黑客向开源软件提交恶意补丁是真实的安全风险。如果这个补丁真的合进去了,那确实是另一回事,但他们在合并补丁之前就已经摊牌了,告诉了别人他这个补丁是有安全漏洞的。
如果因为这个实验浪费了别人的时间就不道德,那Alan Sokal当年在Social Text发表钓鱼文章算是什么?
[-] Wandsong | 3 points | Apr 22 2021 11:24:48
对啊,这事又不是没发生过,某为不就这么干过?
关键在于这个实验有社会学的性质。而且网络社区被当成实验对象有点哈人
[-] 1igansss | 3 points | Apr 22 2021 12:06:45
确实,维护方的反应像恼羞成怒,虽然确实恶心人,但必须针对这个问题研究解决方案
[-] Rachekocht | 9 points | Apr 22 2021 08:44:57
知乎现在在把风向往这教授手下的一个三哥助教身上带
[-] springarrow133 | 5 points | Apr 22 2021 10:34:58
這印度人好像為這件事跟人吵起來,不過這篇論文連他的署名都沒有
純粹來替教授給人罵的
[-] _Newdkmf_ | 9 points | Apr 22 2021 09:20:14
开源精神基于什么?是信任。这几个支猪的行为相当于直接打 开源工作者的脸
[-] Whythebanhammer | 8 points | Apr 22 2021 08:05:49
犧牲別人成就自己不就是支那信條之一嗎?
[-] ImpossibleTech | 8 points | Apr 22 2021 11:08:43
实验技术设计本身没有问题,问题主要出在社区那边认为这浪费了社区reviewer的时间。我觉得这事是实验流程设计问题,你的实验确实involve了别人进来,那么一是应该首先征得Linux社区委员会同意,二是事后应对受影响人员做出补偿
[-] 1igansss | 2 points | Apr 22 2021 12:10:31
但是提前说明了就没有实验意义了,正是这种恶意实验曝光了现实层面的BUG,我觉得这个实验不厚道但有意义
[-] TheKeyToSchool | 1 points | Apr 22 2021 11:14:14
相比开源项目的安全性问题这些都无足轻重。如果斯诺登是美国英雄,那写这论文的人以后就是开源英雄。
[-] TheKeyToSchool | 4 points | Apr 22 2021 10:27:01
貌似不少人没理解这事儿的性质,我搬个旧闻回顾一下黑客的科学精神吧:
event-stream包是一个流行的npm库,每周下载量在200万次以上,但现在发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。
event-stream 被很多的前端流行框架和库使用,每月有几千万下载量。Vue的官方脚手架 vue-cli 中使用了该依赖,React 则躲过了此次影响。
flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的模块都会放在此目录。如果发现在 nodemodules 存在特定的模块,则将恶意代码注入进去,从而盗取用户的数字货币。
[-] catbladespider | 2 points | Apr 22 2021 10:37:58
开源软件引入漏洞?给共享单车插个私人锁是吧?胡子早该剃剃了
[-] kleggclayton | 1 points | Apr 22 2021 09:15:33
读标题就评论是吧?
[-] Any_Air5754 | 1 points | Apr 22 2021 20:42:55
反转了,这是美国人
[-] Western-Project2094 | 0 points | Apr 22 2021 11:40:06
看不懂内容直接评论,真就支那竟是我自己。
[-] Any_Air5754 | 1 points | Apr 22 2021 20:44:20
“我早就是兔友了”
[-] AutoModerator | 1 points | Apr 22 2021 20:44:20
还好,一切如愿以偿
I am a bot, and this action was performed automatically. Please contact the moderators of this subreddit if you have any questions or concerns.
[-] Any_Air5754 | 1 points | Apr 22 2021 20:50:15
Good bot
[-] DaddyJinping | 13 points | Apr 22 2021 08:20:53
哈人,本sub人均程序员是吧,一个个消息跑的比香港记者还快
[-] Liulang28 | 1 points | Apr 22 2021 09:51:41
左一个!=右一个==的
[-] 100kgwheat | 1 points | Apr 22 2021 15:18:13
==?