LinuxコミュニティからBANされたミネソタ大学が「信頼を取り戻すため努力する」とおわびの公開書簡を発表

「偽善者によるコミットでオープンソースソフトウェアに脆弱性が密かに導入される可能性について」という論文をめぐり、ミネソタ大学の研究グループがLinuxカーネルに脆弱性を含むパッチを送信していたことがわかり、LinuxコミュニティからBANされる事態となっています。

これについて研究グループからおわびの公開書簡が送られました。

An open letter to the Linux community - Kangjie Lu
https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/

書簡は2021年4月24日付けで、「偽善者のコミット」に関する論文で用いた方法が不適切であったことを謝罪する内容です。

書簡では、研究はあくまでLinuxのセキュリティを向上させるためのものであり、コミュニティを傷つけたり、脆弱性を広めたりすることを意図したものではなかったものの、研究を行う前にコミュニティに相談して許可を得なかったのは間違いだったと釈明。

ミネソタ大学がこれまでに提出したパッチのうち、「脆弱性を加えるもの」に該当する3つの不正なパッチは、議論の結果、コードにはコミットされなかったとのこと。一方で、ほかのパッチは他のプロジェクトの一環として、またコミュニティへの貢献として提出されたもので、実際にコード上にあるバグに対応したパッチであり、「偽善者のコミット」論文とは無関係であると説明しています。

ミネソタ大学では過去5年間、Linuxの脆弱性を発見し、パッチを当てることに取り組んできたとのことで、今回の事件で、オープンソースコミュニティとの共同研究についていくつか重要な教訓を得たことから、「もっとうまくやれるはずですし、今後も貢献できることがたくさんあると信じています。皆様の信頼を取り戻すために努力していきます」と書簡は結ばれています。

なお、この返信を受けたメンテナーのグレッグ・クロー＝ハートマン氏は「返信をありがとうございます。ご存じの通り、The Linux Foundationとそのテクニカルアドバイザリボードは金曜日(4月23日)に貴大学に対して書簡を提出し、貴グループと貴大学がLinuxカーネルコミュニティの信頼を回復するために必要な具体的な行動について説明を行いました。これらの措置が執られるまで、この問題についてこれ以上議論することはありません。ありがとうございました」と、おわびをスルーする反応を見せています。

Re: An open letter to the Linux community - Greg KH
https://lore.kernel.org/lkml/[email protected]/

ちなみに、本件では、Linuxコミュニティを傷つけるような研究手法が採られた点も問題視されていますが、ミネソタ大学の研究審査委員会でこの手法で問題ないという判断が下ったものだとのことです。