明尼苏达大学被Linux禁止 - 为什么开源是有问题的

01-05-2021 |  |  By 罗宾米切尔

最近,来自明尼苏达大学和同胞毕业生的两位研究人员可以将故意越野码和垃圾代码上传到Linux内核并由社区接受。为什么研究人员这样做,Linux社区是如何做出反应的,以及这对开源软件进行了展示的是什么?

研究人员上传错误代码来证明安全缺陷

最近,明尼苏达大学由邱智武和哈希·卢的题为“论伪君子犯罪悄悄地引入开源软件漏洞的可行性“。本文介绍了两位研究人员如何生成声称在Linux内核中修复一个错误的代码,同时有意地引入其他错误。 Linux内核是开源的,因此,可以由更广泛的社区访问,并且任何人都可以通过提交建议对代码进行更改。

根据研究文件,各种代码提交能够通过批准过程并集成到最终内核分布中。研究文件的目标是在开源软件中展示漏洞,以及如何重新考虑审批过程。在本文中,研究人员确定了多个问题,即开源项目,例如Linux内核面部,包括源的复杂性以及维护者无法理解系统的功能。


Linux Foundation Bans Minnesota大学

在论文的释放中, Linux基金会花了很少的时间宣布彻底禁止 在明尼苏达大学向项目提交更改和更新。具体而言,Linux基金会已禁止大学使用的电子邮件域,因此已要求该项目的所有开发人员拒绝大学的代码。

此外,Linux基金会现在已经指示其成员和参与者通过明尼苏达大学的所有变更,以寻找隐身漏洞。发现一条代码无所作为,而且只保留了必要的贡献(即修复主要错误的基本贡献)。

稳定的Linux分布的铅维护者,Greg Kroah-Hartman, 说“Linux内核开发人员不喜欢尝试。我们有足够的真实工作要做“。然而,经过大学明尼苏达大学的代码提交后,得出结论,其中三分之一的用户已经提交了没有任何作用的垃圾代码。 

这对开源教授了什么,以及研究人员是对的吗?

无疑, Linux社区绝对失去了他们的思想 并要求血液(比喻)。要求大学建立道德委员会直接拒绝他们的贡献,更广泛的社区似乎错过了研究论文的重点;开源软件很脆弱。 

首先,研究人员是不道德的提交介绍错误的代码,因为许多软件系统范围从IoT到数据中心依赖于Linux内核。虽然研究人员可能已经相信虫子是未成年人的,但这并不意味着错误是如此。因此,研究人员将系统放置在可能通过黑客攻击账户,私有数据的发布或设备的控制来实现耗费经济损害的潜在风险。

然而,对于他们所有的不法行为,研究人员完全展示了开源软件面孔的最大问题;社区提交。开源软件对于开发人员和行业而言,在创建与不需要许可或特许权使用费的系统中时,也很棒。开源概念导致开发Linux的许多发行版,电源设备和服务器,arduino项目的开发, 现在RISC-V处理器.

但是,当项目到项目的源代码完全打开时,它也向那些具有恶意的人开放,因此可以研究代码来查找漏洞。当开源项目接受公共代码提交时,漏洞进一步恶化。因此,研究小组证明了恶意缔约方可以使用如何接受此类代码来创建入境点。

因此,研究论文表明,无法依赖简单地信任项目维护者和代码提交者。此外,能够在不知不觉中添加对开源社区的恶意代码应该是一个 警告想要依赖开源的工程师 只是因为它是免费的并且有大型图书馆。 

当然,有些人声称开源项目可以使用Windows和Linux的示例提供更好的安全性。但是,由于Linux几乎没有占桌面操作系统的5%,Windows由于其受欢迎程度而受到攻击更大的攻击和漏洞。因此,黑客将瞄准最大的平台,以最大限度地提高其收益和花费时间。

无论您如何讨厌明尼苏达大学如何搞乱Linux基础,就明白他们已经证明没有系统是完美的。那个开源可以,最有可能已经攻击了。

阅读更多


profile.jpg.

罗宾米切尔

罗宾米切尔是一名电子工程师,自13岁以来一直参与电子产品。在Warwick大学完成Beng之后,Robin迁入了在线内容创作开发文章,新闻棋子和专业人士和制造商的项目领域一样。目前,Robin运行了一个小型电子商务,Mitchelectronics,它会产生教育套件和资源。

相关文章