Linux 內(nèi)核項(xiàng)目維護(hù)者 Greg Kroah-Hartman 決定禁止美國明尼蘇達(dá)大學(xué)（UMN）為開源 Linux 項(xiàng)目做貢獻(xiàn)。其原因是明尼蘇達(dá)大學(xué)的研究人員被發(fā)現(xiàn)提交了一系列的惡意代碼，或故意在官方 Linux 代碼庫中引入有安全漏洞的補(bǔ)丁以作為其研究活動的一部分。

鑒于上述原因，Greg 決定還原從 @umn.edu 電子郵件地址提交的所有代碼提交。

"來自 @umn.edu 地址的提交被發(fā)現(xiàn)是惡意提交，正因?yàn)槿绱?，所有來自這個組織的提交必須從內(nèi)核樹中還原，并需要再次重新審查，以確定它們是否真的是有效的修復(fù)。"

明尼蘇達(dá)大學(xué)的研究人員故意在 Linux 內(nèi)核主線中隱蔽地引入漏洞，并基于此在2021年2月發(fā)表了一篇闡述“開源不安全”的論文（論文署名為 Qiushi Wu 和 Kangjie Lu）。這項(xiàng)研究的重點(diǎn)就是通過提交惡意或不安全的代碼補(bǔ)丁，故意在 Linux 內(nèi)核中引入已知的安全漏洞。

論文：https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

但是，即使在這篇論文之后，明尼蘇達(dá)大學(xué)的研究人員還推出了新一輪的補(bǔ)丁，這些補(bǔ)丁聲稱來自 "一個新的靜態(tài)分析器"，實(shí)際上該補(bǔ)丁沒有任何真正的價值。無論好壞，至少是在浪費(fèi)上游開發(fā)者的時間，而這最終導(dǎo)致 Greg 決定禁止他們在未來嘗試為 Linux 內(nèi)核做貢獻(xiàn)。

Greg 今天早上在內(nèi)核郵件列表中寫道："這些新的補(bǔ)丁顯然根本就沒有修復(fù)任何東西。那么，除了你和你的團(tuán)隊(duì)繼續(xù)通過發(fā)送這種無稽之談的補(bǔ)丁來對內(nèi)核社區(qū)的開發(fā)者進(jìn)行試驗(yàn)之外，我還能想到什么呢？任何對 C 語言有一定了解的人都可以看到你提交的補(bǔ)丁根本沒有任何作用。正因?yàn)槿绱?，我現(xiàn)在不得不禁止你們大學(xué)今后的所有貢獻(xiàn)，并刪除你們以前的貢獻(xiàn)，因?yàn)樗鼈冿@然是以惡意的方式提交的，目的是為了造成問題。因此，不再歡迎來自明尼蘇達(dá)大學(xué)的人對上游的 Linux 內(nèi)核開發(fā)作出貢獻(xiàn)。“

截止到目前，已確認(rèn)明尼蘇達(dá)大學(xué)之前對 Linux 內(nèi)核提交的補(bǔ)?。ㄓ幸饬x的補(bǔ)丁）將會被恢復(fù)。

更新：明尼蘇達(dá)大學(xué)計算機(jī)科學(xué)與工程學(xué)院針對此事作出回應(yīng)，回應(yīng)內(nèi)容如下：

明尼蘇達(dá)大學(xué)計算機(jī)科學(xué)與工程學(xué)院的領(lǐng)導(dǎo)今天了解到該系的一名教師和研究生正在對 Linux 內(nèi)核的安全性進(jìn)行研究細(xì)節(jié)。所使用的研究方法引起了 Linux 內(nèi)核社區(qū)的嚴(yán)重關(guān)切，這已經(jīng)導(dǎo)致大學(xué)被禁止對 Linux 內(nèi)核做出貢獻(xiàn)。

我們對這種情況極為重視，我們已經(jīng)立即暫停了這個研究方向。我們將調(diào)查該研究方法和批準(zhǔn)該研究方法的過程，確定適當(dāng)?shù)难a(bǔ)救措施，并在必要時防范未來的問題。我們將盡快向社會報告我們的調(diào)查結(jié)果。

回應(yīng)原文查看：https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021