

















明尼苏达大学的博士生 Qiushi Wu 和助理教授
Kangjie Lu发表了论文《
On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》,通过有意向内核递交含有安全漏洞的补丁测试悄悄向开源软件引入漏洞的可行性。两位研究人员称,他们向大学的评审委员会递交了实验申请,因为不涉及人类研究评审会批准了他们的实验。而当他们的补丁获得维护者的积极评价之后,他们立即通知维护者补丁是有漏洞,不要合并存在问题的补丁。他们的论文将在五月举行的 IEEE Symposium on Security and Privacy 虚拟会议上公开发表。Linux 内核社区随后知道了这次实验,但当有更多明尼苏达大学的研究人员递交存在疑问的补丁之后,稳定版内核维护者 Greg Kroah-Hartman
宣布不再接受该大学的任何补丁,称内核开发者不愿意被做实验,内核也不是做实验的地方,研究人员是在浪费维护者的时间。此举也可能是向大学施压,希望评审会不要再批准此类的实验。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。