Linux community还是有一定信任机制在里面的。你埋了雷,你的责任跑不了。这个和 最近的dependency confusion还不一样。那个从几大公司赚了10多万赏金,大家也说不出什么毛病。要解决这个问题还是要建立一定的信用机制,不能是个人就能在public repository注册package。
Commits from @umn.edu addresses have been found to be submitted in "bad faith" to try to test the kernel community's ability to review "known malicious" changes. The result of these submissions can be found in a paper published at the 42nd IEEE Symposium on Security and Privacy entitled, "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" written by Qiushi Wu (University of Minnesota) and Kangjie Lu (University of Minnesota).
Because of this, all submissions from this group must be reverted from the kernel tree and will need to be re-reviewed again to determine if they actually are a valid fix. Until that work is complete, remove this change to ensure that no problems are being introduced into the codebase.
【 在 swanswan (swan) 的大作中提到: 】 : 这里是那个greg的声明,作为外人我初一看很有道理,觉得教授的假patch进了 source : tree很不妥当,所以应该把所有patch都拿掉,但是后来知道前因后果后,这个白人故 : 意说的很含糊。 : Commits from @umn.edu addresses have been found to be submitted in "bad : faith" to try to test the kernel community's ability to review "known : malicious" changes. The result of these submissions can be found in a : paper published at the 42nd IEEE Symposium on Security and Privacy : entitled, "Open Source Insecurity: Stealthily Introducing : Vulnerabilities via Hypocrite Commits" written by Qiushi Wu (University : of Minnesota) and Kangjie Lu (University of Minnesota). : ...................
第一 这件事 显然是Linux丢人了 被华人教授揪出来 在全世界面前丢人 他们要报复是可以理解的
第二 为什么我要说Linux在全世界面前丢人了呢? 因为这位教授把研究成果发表在全宇宙最牛的安全会议 IEEE S&P'21. 就相当于你们生物千老的Science 我们物理千老的
PRL
第三 虽然我还没研读论文 但我认为 该华人教授没有ethics问题 why? 这个宇宙最牛
安全会议 由自己的ethics评估流程 好像还有专门的ethics committee. why? 因为这
个会议爆出来的漏洞 经常能震动整个互联网和计算机界
所以往往是先把漏洞报给工业界 等他们万事俱备后 才让发表文章
第四 等我有时间再看看文章 再给你们这些非科班出身的说评书
华人教授的声明:
http://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf
争议文章:
On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits
http://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
不要听那些华人大妈一惊一乍
也不要人云亦云
搞不好这哥们是我们华人之光
我研判 按照这哥们is so productive, that he should get his tenure from top
10
请仔细看文章的第8页最后一段
整个过程就是
1. 故意提交带bug的patch
2. 然后linux kernel开源社区人 傻呵呵的接受了patch
3. 在该patch被整合进入linux kernel前 这华人教授又提醒之前的patch有问题 要再
提交一份新的patch
打个比方 就是在保安面前偷了东西 但又把东西还了回去 然后提醒全世界 Linux的保
安很成问题啊! Linux如此重要 不能搞些如此不称职的玩意儿啊!
你们说这有问题吗?
尼玛一群生物转码sb们 跟着一群华人大妈们在那high
你说Linux的patch审核 谁来评估? 之前无人能评估
这位华人教授 狠狠给大家提醒 并没有将bug带入到任何用户电脑
有问题吗?
hacker news炸锅了,这个是政治问题,不是操作问题
所有开源项目都可能会封他们
学校发声明了
结果好不了,非常傻逼的事情
看了一下摘要,作者都是老中,英文措辞有些生硬,从社交层面讲听着令人不舒服,估计写论文时没关注这一点,但抛开语言文化造成的修辞欠缺,感觉文章揭开了一个沉重的黑幕,这是非常好的研究成果,打了OSS的脸,大学和社会应该支持研究者
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 尼玛一群生物转码sb们 跟着一群华人大妈们在那high
: 你说Linux的patch审核 谁来评估? 之前无人能评估
: 这位华人教授 狠狠给大家提醒 并没有将bug带入到任何用户电脑
: 有问题吗?
我只能说有争议性 傻逼的是Linux
这华人教授 要是偷偷把研究成果 告知黑客 或者某些政府 那才是害人
而他告诉全世界 给大家提醒 因为这里无数人吃饭的家伙靠的是Linux (当然你可能不
知道我在说什么)
难道真的等到黑客发现 并偷偷大规模利用 Linux才高兴吗? 人类才happy吗?
【 在 skitidet (skitidet) 的大作中提到: 】
: hacker news炸锅了,这个是政治问题,不是操作问题
: 所有开源项目都可能会封他们
: 学校发声明了
: 结果好不了,非常傻逼的事情
你们真以为宇宙最牛安全会议的committee是吃干饭的吗?
我不想骂你,你真是太幼稚了
黄皮支那青客就是你这样幼稚的人太多
这等于是往美军航母塞炸弹,然后说我是做试验
人家才不管你,直接击毙
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 我只能说有争议性 傻逼的是Linux
: 这华人教授 要是偷偷把研究成果 告知黑客 或者某些政府 那才是害人
: 而他告诉全世界 给大家提醒 因为这里无数人吃饭的家伙靠的是Linux (当然你可能不
: 知道我在说什么)
: 难道真的等到黑客发现 并偷偷大规模利用 Linux才高兴吗? 人类才happy吗?
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 第一 这件事 显然是Linux丢人了 被华人教授揪出来 在全世界面前丢人 他们要报复是
: 可以理解的
: 第二 为什么我要说Linux在全世界面前丢人了呢? 因为这位教授把研究成果发表在全宇
: 宙最牛的安全会议 IEEE S&P'21. 就相当于你们生物千老的Science 我们物理千老的: PRL
: 第三 虽然我还没研读论文 但我认为 该华人教授没有ethics问题 why? 这个宇宙最牛
: 安全会议 由自己的ethics评估流程 好像还有专门的ethics committee. why? 因为这
: 个会议爆出来的漏洞 经常能震动整个互联网和计算机界
: 所以往往是先把漏洞报给工业界 等他们万事俱备后 才让发表文章
: 第四 等我有时间再看看文章 再给你们这些非科班出身的说评书
你没懂。哥看明白了,教授丢人了。
Linux的bug,提交方法的不完善是两码事。你到S&P上发应该是OS的bug才行。
这个就是教授监守自盗被人抓了现行。
你妈,甜妞没了。
开源社区丢脸了呗
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 请仔细看文章的第8页最后一段
: 整个过程就是
: 1. 故意提交带bug的patch
: 2. 然后linux kernel开源社区人 傻呵呵的接受了patch
: 3. 在该patch被整合进入linux kernel前 这华人教授又提醒之前的patch有问题 要再
: 提交一份新的patch
: 打个比方 就是在保安面前偷了东西 但又把东西还了回去 然后提醒全世界 Linux的保
: 安很成问题啊! Linux如此重要 不能搞些如此不称职的玩意儿啊!
: 你们说这有问题吗?
物理千老啊,这种行为不可取,不能开玩笑,一个漏洞,被人渗透之后,后续非常非常麻烦的。
可能你的印象中,好像有漏洞,然后修复漏洞,事情就过去了,这是想得美,事实不是这样的。
这位华人教授要真想赚钱 跟黑客组织一联系 可以轻松赚一大笔
而人家提醒了全世界 难免要打脸Linux 如此而已
蠢lv 仔细看看文章
人家并不是说自己发现了几个bug (他已经发现n多bug了 少这三瓜两枣)
而是揭示开源社区patch审核的大问题
你懂个jb 又是tmd生物转码的玩意儿吧
【 在 dachu (Big Chef) 的大作中提到: 】
: 你没懂。哥看明白了,教授丢人了。
: Linux的bug,提交方法的不完善是两码事。你到S&P上发应该是OS的bug才行。
: 这个就是教授监守自盗被人抓了现行。
: 你妈,甜妞没了。
小蒙古阿骨打,CS phd就不要装物理千老了
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 第一 这件事 显然是Linux丢人了 被华人教授揪出来 在全世界面前丢人 他们要报复是
: 可以理解的
: 第二 为什么我要说Linux在全世界面前丢人了呢? 因为这位教授把研究成果发表在全宇
: 宙最牛的安全会议 IEEE S&P'21. 就相当于你们生物千老的Science 我们物理千老的: PRL
: 第三 虽然我还没研读论文 但我认为 该华人教授没有ethics问题 why? 这个宇宙最牛
: 安全会议 由自己的ethics评估流程 好像还有专门的ethics committee. why? 因为这
: 个会议爆出来的漏洞 经常能震动整个互联网和计算机界
: 所以往往是先把漏洞报给工业界 等他们万事俱备后 才让发表文章
: 第四 等我有时间再看看文章 再给你们这些非科班出身的说评书
不是修复漏洞 别跟着华人大妈瞎jb high
看看文章第8页最后一段
在patch被批准 到被整合到main 之间有time window
他们在这个time window里提交了新版本、没有bug的patch
buggy code没有到任何用户电脑
如此而已
【 在 WannaCry (Wanna Decryptor) 的大作中提到: 】
: 物理千老啊,这种行为不可取,不能开玩笑,一个漏洞,被人渗透之后,后续非常非常
: 麻烦的。
: 可能你的印象中,好像有漏洞,然后修复漏洞,事情就过去了,这是想得美,事实不是
: 这样的。
不可取是真的
这就是杀身成仁、舍身取义
你们谁懂得这层境界
【 在 WannaCry (Wanna Decryptor) 的大作中提到: 】
: 物理千老啊,这种行为不可取,不能开玩笑,一个漏洞,被人渗透之后,后续非常非常
: 麻烦的。
: 可能你的印象中,好像有漏洞,然后修复漏洞,事情就过去了,这是想得美,事实不是
: 这样的。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 蠢lv 仔细看看文章
: 人家并不是说自己发现了几个bug (他已经发现n多bug了 少这三瓜两枣)
: 而是揭示开源社区patch审核的大问题
: 你懂个jb 又是tmd生物转码的玩意儿吧
你妈逼的,那个潭牛前的敢说不少三瓜俩枣?你傻丫真是教授?
其实天牛后的也好不到那去,看看能教授就知道了。
学术界想真正的搞研究基本上没有生存空间,都是一些造粪机。
就别拿显微镜操作员 来打比方了
人家需要考虑的是 凭tenure时要不要跳到top 10
人家一个学生的研究成果都够凭那个学校的tenure了 懂吗?
【 在 dachu (Big Chef) 的大作中提到: 】
: 你妈逼的,那个潭牛前的敢说不少三瓜俩枣?你傻丫真是教授?
: 其实天牛后的也好不到那去,看看能教授就知道了。
: 学术界想真正的搞研究基本上没有生存空间,都是一些造粪机。
这本身是一件严肃的行为,你硬要发挥个性,搞行为艺术,自己创造一个尺度,善意的玩笑,你让用你的厂商怎么想?他们怎么会放心使用?谁知道口子一放,模仿者会是不是更发挥“创意”
这完全是脑子进水,是的,这样可以杀一个人,但并不代表着你真要拿刀子去划一刀啊,你用嘴说就行了嘛。都是业内人士,你非得要表演。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 不是修复漏洞 别跟着华人大妈瞎jb high
: 看看文章第8页最后一段
: 在patch被批准 到被整合到main 之间有time window
: 他们在这个time window里提交了新版本、没有bug的patch
: buggy code没有到任何用户电脑
: 如此而已
用这种方法,证明process有漏洞,肯定要被封
开源都这样,建立在大家互信基础上的,能让你提交代码,估计之前也有互信了
所以用开源软件也不能用最新的,这个大家都明白,不定出啥漏洞,随着时间都会暴露的
水明这个傻吊生物学千老,看到IT话题都要凑热闹,宛如有他一份一样
【 在 skitidet (skitidet) 的大作中提到: 】
: hacker news炸锅了,这个是政治问题,不是操作问题
: 所有开源项目都可能会封他们
: 学校发声明了
: 结果好不了,非常傻逼的事情
用嘴说 谁会听?
Linux代码管理松散 全世界都知道 公开的秘密
这次不过是把它高高挂起 暴尸而已
提醒Linux该干点真事了
而Linux干的正事就是报复
【 在 WannaCry (Wanna Decryptor) 的大作中提到: 】
: 这本身是一件严肃的行为,你硬要发挥个性,搞行为艺术,自己创造一个尺度,善意的
: 玩笑,你让用你的厂商怎么想?他们怎么会放心使用?谁知道口子一放,模仿者会是不
: 是更发挥“创意”
: 这完全是脑子进水,是的,这样可以杀一个人,但并不代表着你真要拿刀子去划一刀啊
: ,你用嘴说就行了嘛。都是业内人士,你非得要表演。
信任个jb 0信任是基础
下面就是测试、审核
【 在 terryfox (狸狸) 的大作中提到: 】
: 用这种方法,证明process有漏洞,肯定要被封
: 开源都这样,建立在大家互信基础上的,能让你提交代码,估计之前也有互信了
: 所以用开源软件也不能用最新的,这个大家都明白,不定出啥漏洞,随着时间都会暴露
: 的
敢不敢赌吧?
水明用两个ID赌你一个ID,输了的送给对方。
我赌他天牛肯定完蛋,没了。不赌是否开除。只赌天牛。
如何,敢赌吗?
赌你妈逼的小丑啊,傻吊
滚,这种话题没有你这种南郭先生的事。
【 在 skitidet (skitidet) 的大作中提到: 】
: 敢不敢赌吧?
: 水明用两个ID赌你一个ID,输了的送给对方。
: 我赌他天牛肯定完蛋,没了。不赌是否开除。只赌天牛。
: 如何,敢赌吗?
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 就别拿显微镜操作员 来打比方了
: 人家需要考虑的是 凭tenure时要不要跳到top 10
: 人家一个学生的研究成果都够凭那个学校的tenure了 懂吗?
傻差,哥告诉你说。以后这哥们就不用在这个圈儿里混了。计算机系统本来就是个小圈子,没多少人能进得去。你以为别人都是傻逼丫?这次小聪明玩过了。
他的做法相当恶劣
码农大部分代码都有安全漏洞,能写没有安全漏洞代码的码农基本没有
所以不可能一下审核出来的
大部分安全漏洞都是无意识的,这种有意识放漏洞进去,证明码农代码系统不安全,可见有多恶劣了
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 信任个jb 0信任是基础
: 下面就是测试、审核
他其实是黑客行为
就算后面又修正,行为本身就是黑客行为
他证明的不过是大家早就知道的东西
没看明白。到底maintainer被骗了没有啊?如果真发生了,好歹用过去时啊。
【 在 terryfox (狸狸) 的大作中提到: 】
: 他的做法相当恶劣
: 码农大部分代码都有安全漏洞,能写没有安全漏洞代码的码农基本没有
: 所以不可能一下审核出来的
: 大部分安全漏洞都是无意识的,这种有意识放漏洞进去,证明码农代码系统不安全,可
: 见有多恶劣了
药师就是一脑子屎的杠精
属实,让丫写个schrodinger方程立马傻眼了
【 在 newIdRobot (新器人) 的大作中提到: 】
: 小蒙古阿骨打,CS phd就不要装物理千老了
不管怎么样,我是站在maintainer一边的。Linux的问题大家都知道,不scale,不
automate,community基于一定的信用,deliberately欺骗maintainer,肯定得罪人。
黑客纽斯都讨论得很清楚了,炸锅了,这么大的事,这几个小屁孩肯定搞不定。Linux
大佬们肯定要杀鸡儆猴的。学校不可能保他们。
公共粪坑再臭再烂,你也不能忘粪坑里塞炸弹是不?
这考题绝逼得开掉
【 在 nomansland (noid) 的大作中提到: 】
: 不管怎么样,我是站在maintainer一边的。Linux的问题大家都知道,不scale,不
: automate,community基于一定的信用,deliberately欺骗maintainer,肯定得罪人。
对。但是这些不是你个做计算机研究的人的问题。做研究要老老实实,别鸡巴搞歪门邪道。
菌斑再臭再粪坑,老大爷往里面塞黄图gay图泥马你们也是要斩尽杀绝老大爷啊对不?
同时不要忘记安全研究者的天职
不可能假装问题在那而假装说恭维话
否则这个管理漏洞 早晚 也许已经 被黑客利用
【 在 nomansland (noid) 的大作中提到: 】
: 不管怎么样,我是站在maintainer一边的。Linux的问题大家都知道,不scale,不
: automate,community基于一定的信用,deliberately欺骗maintainer,肯定得罪人。
这个比喻还挺形象,属实
【 在 TomsnReuters (汤生撸透射) 的大作中提到: 】
: 菌斑再臭再粪坑,老大爷往里面塞黄图gay图泥马你们也是要斩尽杀绝老大爷啊对不?
狗屁研究啊,既然是故意编写漏洞,逻辑缺陷。就是已经知道了这样会有什么后果啊
这是嘲笑同僚么?
甚至都不是嘲笑同僚,而是嘲笑同僚的信任。对谁都不尊重
【 在 dachu (Big Chef) 的大作中提到: 】
: 对。但是这些不是你个做计算机研究的人的问题。做研究要老老实实,别鸡巴搞歪门邪
: 道。
这个问题是个人就知道呀,难道有人真信开源软件的漏洞比闭源软件的漏洞少?
【 在 LiYaoshi 的大作中提到: 】
:
:同时不要忘记安全研究者的天职
:不可能假装问题在那而假装说恭维话
:
:否则这个管理漏洞 早晚 也许已经 被黑客利用
:
:【 在 nomansland (noid) 的大作中提到: 】
:: 不管怎么样,我是站在maintainer一边的。Linux的问题大家都知道,不scale,不
:: automate,community基于一定的信用,deliberately欺骗maintainer,肯定得罪人。
:
:
:
你太naive了,这帮孙子搞不好是帮华为探路的,是共产党间谍都不一定。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 同时不要忘记安全研究者的天职
: 不可能假装问题在那而假装说恭维话
: 否则这个管理漏洞 早晚 也许已经 被黑客利用
Linux community还是有一定信任机制在里面的。你埋了雷,你的责任跑不了。这个和
最近的dependency confusion还不一样。那个从几大公司赚了10多万赏金,大家也说不出什么毛病。要解决这个问题还是要建立一定的信用机制,不能是个人就能在public
repository注册package。
扯你妈的蛋
是间谍 那就只提交插入bug的patch好了
何必及时提醒
【 在 skitidet (skitidet) 的大作中提到: 】
: 你太naive了,这帮孙子搞不好是帮华为探路的,是共产党间谍都不一定。
探路啊,真真假假啊,华为自己这么搞一下不是马上死了?
如果这次没事,那么说明这条路可行,可以通过这种形式,真真假假打击Linux社区
那下次就是华为出手了,或者真正的破坏者出手。
你不要太天真,共产党的邪恶,间谍战的复杂不是你想象那么简单。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 扯你妈的蛋
: 是间谍 那就只提交插入bug的patch好了
: 何必及时提醒
哥这条要湿一点都不敢回啊
【 在 TomsnReuters (汤生撸透射) 的大作中提到: 】
: 菌斑再臭再粪坑,老大爷往里面塞黄图gay图泥马你们也是要斩尽杀绝老大爷啊对不?
别人傻呵呵的接受了,就你聪明?
下次去餐馆吃饭,喝了服务员送来的一杯水。
服务员就哈哈大笑,没尝出来吧,里面有尿。所以下次喝水前先仔细检测一下。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 请仔细看文章的第8页最后一段
: 整个过程就是
: 1. 故意提交带bug的patch
: 2. 然后linux kernel开源社区人 傻呵呵的接受了patch
: 3. 在该patch被整合进入linux kernel前 这华人教授又提醒之前的patch有问题 要再
: 提交一份新的patch
: 打个比方 就是在保安面前偷了东西 但又把东西还了回去 然后提醒全世界 Linux的保
: 安很成问题啊! Linux如此重要 不能搞些如此不称职的玩意儿啊!
: 你们说这有问题吗?
一般人丢了脸不好意思计较,但这样法理上绝对有问题。
打个比方 就是“在保安面前偷了东西 但又把东西还了回去” 然后提醒全世界 Linux
的保
安很成问题啊! Linux如此重要 不能搞些如此不称职的玩意儿啊!
你们说这有问题吗?
你不检测 那么黑客就有可乘之机 这么简单的道理 不明白么
你以为Linux 是请客吃饭 就知道吃吃吃
【 在 cairn (cairn) 的大作中提到: 】
: 别人傻呵呵的接受了,就你聪明?
: 下次去餐馆吃饭,喝了服务员送来的一杯水。
: 服务员就哈哈大笑,没尝出来吧,里面有尿。所以下次喝水前先仔细检测一下。
拿着东西在保安面前晃了晃 保安说可以拿走 但并没有拿走
这么说你明白了吗?
【 在 GBMend (诺华老药工) 的大作中提到: 】
: 一般人丢了脸不好意思计较,但这样法理上绝对有问题。
: 打个比方 就是“在保安面前偷了东西 但又把东西还了回去” 然后提醒全世界
Linux
: 的保
: 安很成问题啊! Linux如此重要 不能搞些如此不称职的玩意儿啊!
: 你们说这有问题吗?
你这种水平也是物理钱老?厚礼写。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 第一 这件事 显然是Linux丢人了 被华人教授揪出来 在全世界面前丢人 他们要报复是
: 可以理解的
: 第二 为什么我要说Linux在全世界面前丢人了呢? 因为这位教授把研究成果发表在全宇
: 宙最牛的安全会议 IEEE S&P'21. 就相当于你们生物千老的Science 我们物理千老的: PRL
: 第三 虽然我还没研读论文 但我认为 该华人教授没有ethics问题 why? 这个宇宙最牛
: 安全会议 由自己的ethics评估流程 好像还有专门的ethics committee. why? 因为这
: 个会议爆出来的漏洞 经常能震动整个互联网和计算机界
: 所以往往是先把漏洞报给工业界 等他们万事俱备后 才让发表文章
: 第四 等我有时间再看看文章 再给你们这些非科班出身的说评书
你的智商低于80,鉴定完毕。
【 在 LiYaoshi (药师——非著名中将) 的大作中提到: 】
: 第一 这件事 显然是Linux丢人了 被华人教授揪出来 在全世界面前丢人 他们要报复是
: 可以理解的
: 第二 为什么我要说Linux在全世界面前丢人了呢? 因为这位教授把研究成果发表在全宇
: 宙最牛的安全会议 IEEE S&P'21. 就相当于你们生物千老的Science 我们物理千老的: PRL
: 第三 虽然我还没研读论文 但我认为 该华人教授没有ethics问题 why? 这个宇宙最牛
: 安全会议 由自己的ethics评估流程 好像还有专门的ethics committee. why? 因为这
: 个会议爆出来的漏洞 经常能震动整个互联网和计算机界
: 所以往往是先把漏洞报给工业界 等他们万事俱备后 才让发表文章
: 第四 等我有时间再看看文章 再给你们这些非科班出身的说评书
: ...................
如果有个生物学家为了证明某种病毒可以在人类中传播,于是把病毒感染给大众,然后提供解药,这有问题吗?
【在 LiYaoshi(药师——非著名中将)的大作中提到:】
:请仔细看文章的第8页最后一段
:
还大众 你说说这个华人教授的“恶意代码”感染谁了?
还在邮件讨论review阶段 人家就再次提交了更正的code
“恶意”patch没有进入任何版本的kernel 更不用说到任何用户电脑了
就怕你们这群人云亦云、大惊小怪的大妈
【 在 notus (南风) 的大作中提到: 】
: 如果有个生物学家为了证明某种病毒可以在人类中传播,于是把病毒感染给大众,然后
: 提供解药,这有问题吗?
: :请仔细看文章的第8页最后一段
: :
我老仔细研究了一下这个论文,那个白人确实有点一惊一乍恼羞成怒。
首先华人教授发的三个做实验的漏洞假patch只是在email里,没有去source tree
华人教授另外有几百个真的patch已经去source tree了
白人Greg则脑羞成怒,声称很多bug已经到source tree了。要把所有的patch全部删掉。
有不少人回复指出不少patch是真修了bug的,这里可以看到不少人对greg的回复:https://lore.kernel.org/lkml/[email protected]/
这个白人的态度完全不是严谨的,这个问题已经出来很久,教授去年底就发了声明,为什么现在突然要搞这个,原因是前几天又和明尼苏达的阿三学生吵架,一冲动就要把明尼苏达的patch全部删掉。吵架的thread在这里:https://lore.kernel.org/linux-nfs/CAHr+ZK8xp5QU8wQHzuNkJdsP20fC=
[email protected]/T/#u
这个greg完全按照自己的喜好和冲动来办事情,完全不顾开源社区是不是真的需要那些patch。就算80%patch有问题,也有很多patch是真的需要。
当然教授和学生的水平不高也是事实...
这等于是往美军航母塞炸弹,然后说我是做试验
人家才不管你,直接TT
这里是那个greg的声明,作为外人我初一看很有道理,觉得教授的假patch进了source tree很不妥当,所以应该把所有patch都拿掉,但是后来知道前因后果后,这个白人故
意说的很含糊。
Commits from @umn.edu addresses have been found to be submitted in "bad
faith" to try to test the kernel community's ability to review "known
malicious" changes. The result of these submissions can be found in a
paper published at the 42nd IEEE Symposium on Security and Privacy
entitled, "Open Source Insecurity: Stealthily Introducing
Vulnerabilities via Hypocrite Commits" written by Qiushi Wu (University
of Minnesota) and Kangjie Lu (University of Minnesota).
Because of this, all submissions from this group must be reverted from
the kernel tree and will need to be re-reviewed again to determine if
they actually are a valid fix. Until that work is complete, remove this
change to ensure that no problems are being introduced into the
codebase.
这就是歇斯底里 气急败坏 大发淫威
如此而已 哪有道理可
可叹那群华人大妈还一个劲的自恨不止
在这项研究之前 很可能黑客已经偷偷往内核塞了n个zero day了
linus应该感谢这个问题终于被重视了
明明是我们华人之光
【 在 swanswan (swan) 的大作中提到: 】
: 这里是那个greg的声明,作为外人我初一看很有道理,觉得教授的假patch进了
source
: tree很不妥当,所以应该把所有patch都拿掉,但是后来知道前因后果后,这个白人故
: 意说的很含糊。
: Commits from @umn.edu addresses have been found to be submitted in "bad
: faith" to try to test the kernel community's ability to review "known
: malicious" changes. The result of these submissions can be found in a
: paper published at the 42nd IEEE Symposium on Security and Privacy
: entitled, "Open Source Insecurity: Stealthily Introducing
: Vulnerabilities via Hypocrite Commits" written by Qiushi Wu (University
: of Minnesota) and Kangjie Lu (University of Minnesota).
: ...................
没猜错,这个greg果然是个正宗的光头纳粹形象:
https://en.wikipedia.org/wiki/Greg_Kroah-Hartman