最近两天, 安全研究人员和开源社区发生了一个重大事件。
K. Lu是University of Minnesota的一个研究人员, 他的学生A. Pakki最近向Linux交了一个patch, 刚开始还是和平的讨论。后来, 不知怎么的, Greg冒出来说不要再提交已知有问题的patch来浪费大家的时间了。然后, 另一个开发者找出了一篇名为《On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits》的论文, 并以此为证据, 说这个组的人又在向内核引入bug了。这篇论文作者为Q. Wu和K. Lu, 内容如标题所述。
上述邮件列表的存档:
事态的升级大概是因为A. Pakki又单独向Greg发了一封态度强硬的邮件(如上述存档第9页中间部分)。然后, Greg向A. Pakki发送了回信, 并抄送到了相应的邮件列表。信中Greg对A. Pakki同样给出了态度强硬的回复, 最后声称要revert掉A. Pakki之前的所有的commit, 以及拉黑该大学后续所有贡献。
之后, 事件爆发, 大部分网友参与讨论这篇论文的伦理道德问题。事实上, 这篇论文在去年底公开的时候就有争议, 后来作者写了澄清文档, 暂时平息了事件。然而, 近期它又被上面的邮件爆出来了。经过一段时间, K. Lu亲自发表朋友圈再次尝试进行澄清:
阅上述所有文档, 我选择相信Lu老师组没有进一步故意引入bug, 同时我也觉得这个研究很有意义。但是, 与Greg看法类似, 我不接受他们的做法, 主要还是浪费维护者的时间与感情, 相信所有开源社区维护者都能体会。我觉得这个根本问题还是在于, 这篇论文的实验违反了“知情同意原则”, 以及IRB甚至是事后补的(作者已承认, 如下图所示), 这个似乎没有可以原谅的余地。
具体来看, 作者开展实验的时候没有严格遵守“知情同意原则”, 是有违反学术伦理道德的风险的, 并且可能让维护者感到其对于贡献者的信任被利用了, 被用来发表论文。与有关国家不同, 西方国家更是基于信任的一套体系, 一次潜在的失信行为都可能有长久的影响。有关国家的民众对于这方面的意识还十分缺乏。
总之, 如果真的是为了安全研究, 最好的选择是撤稿, 去年年底就应该撤稿, 以此强有力地证明自己就不是为了发表论文, 否则拖得越晚将会摔得越惨。对于第一作者的那位博士生, 反正导师认可的情况下不发论文也可以毕业(?)。
2021年04月27日21:25:02更新: 作者撤稿了: https://www-users.cs.umn.edu/~kjlu/papers/withdrawal-letter.pdf
2021年5月9日 01:56:15更新: IEEE S&P会议的声明: https://www.ieee-security.org/TC/SP2021/downloads/2021_PC_Statement.pdf
发表评论