Linux爆料：明尼苏达大学提交恶意代码引发的信任危机 近日，一则关于明尼苏达大学（UMN）向Linux内核提交大量含有漏洞的恶意代码的事件，引发了开源社区的巨大震动

    这一事件不仅揭示了开源社区在安全性方面的脆弱性，更触动了整个社区对学术诚信和道德规范的深刻反思

     事件的起因是UMN的研究人员向Linux内核提交了200多个含有已知漏洞的假代码，并在随后的论文中探讨了“开源社区存在的安全漏洞”

    这些所谓的“补丁”实际上是为了验证研究假设而精心设计的恶意代码，其目标是通过引入Use-after-free（UaF）漏洞来展示开源软件在补丁过程中的安全隐患

    UaF漏洞是一种由于已释放的内存继续被引用而引发的安全漏洞，通常是由于迷途指针（Dangling pointer）未能正确置为NULL所导致的

     UMN的研究人员在其论文中详细描述了如何通过提交这些恶意代码来重新引入NULL指针解构缺陷（CVE-2019-15922）

    他们声称，这些补丁看似有效，但实际上在释放指针后会使某些函数继续引用该指针而不检查其状态，从而导致NULL指针异常

    这一行为无疑是对开源社区安全性的严重挑战，更是对学术诚信和道德规范的公然践踏

     Linux内核的核心维护者Greg Kroah-Hartman对这一事件表示了强烈的愤慨

    他宣布将所有UMN提交的补丁作废，并将整个大学列入黑名单

    Kroah-Hartman在电子邮件中指出，UMN的研究人员故意提交有安全影响的可疑代码，并以研究的名义进行其他“实验”，这是对开源社区的不负责任行为

    他强调，Linux内核开发者社区并不欣赏以这种方式进行试验，并警告UMN的研究人员，如果他们想进行这样的工作，应该找一个不同的社区来进行实验

     UMN的研究人员对这一指控表示不服，并编制了一份详细的FAQ文件来回应质疑

    他们在文件中指出，他们的研究目标是通过证明引入错误的补丁的实用性，来提高开源软件中补丁过程的安全性

    他们声称，这些补丁是作为他们编写的一个新的静态分析器的一部分发送的，其灵敏度虽然不高，但目的是为了得到反馈

    然而，这一解释并未能平息开源社区的愤怒，反而引发了更多的质疑和批评

     Linux内核的开发者们对UMN的行为表示了强烈的谴责

    他们认为，UMN的研究人员不仅浪费了上游开发者的时间，还严重损害了开源社区的信任和合作精神

    一位开发者指出，UMN的研究人员应该为审查这些“伪君子”补丁所浪费的时间向Linux维护者表示真诚的歉意

    然而，UMN的研究人员对此并未给予积极的回应，反而指责Kroah-Hartman的指控是“胡乱指责，近乎于诽谤”

     这一事件引发了开源社区对学术诚信和道德规范的广泛讨论

    许多开发者认为，UMN的研究人员为了发表论文而故意引入安全漏洞，这种行为不仅违反了学术诚信的基本原则，也损害了开源社区的声誉和利益

    他们呼吁，开源社区应该加强对研究人员的监管和约束，防止类似事件再次发生

     然而，也有一些人对这一事件持不同看法

    开源安全公司的总裁Brad Spengler认为，这是Linux内核维护者的“过度反应”

    他指出，包括他自己在内的许多人在去年就已经向Linux维护者指出了这些可疑的提交，但直到现在才采取行动

    他认为，Linux内核维护者应该更加谨慎地处理这类事件，