意図的にバグコミットして、大学がプロジェクトから ban される

ミネソタ大学の博士課程の学生が脆弱性に関する実践的な研究をするために、Linux カーネルに Use After Free のバグを埋め込んだパッチを送って論文を書いた件が、大きな問題になっていたのでメモ。

ソフトウェア関連の研究に携わっている者として、人ごとではない深刻な事態だと受け止めています。研究をしていると、やってみたいという衝動に駆られるけれども倫理上の理由で実行できないということはよくあります。

問題の論文（On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits）についてはすでにwithdraw（取り下げ）になっているようです。

大学においてはヒト対象実験については倫理指針が定められていて、事前審査を受けなければ実施することができませんが、ソフトウェアの世界にも倫理審査が必要な時代が来てしまうのかもしれません。以下のメールで述べられている Linux コミュニティの意見は厳しいですが至極真っ当な意見だと思います。

Re: [PATCH] SUNRPC: Add a check for gss_release_msg - Greg KH

Our community welcomes developers who wish to help and enhance Linux. That is NOT what you are attempting to do here, so please do not try to frame it that way.

Our community does not appreciate being experimented on, and being"tested" by submitting known patches that are either do nothing on purpose, or introduce bugs on purpose.
If you wish to do work like this, I suggest you find a different community to run your experiments on, you are not welcome here.

Because of this, I will now have to ban all future contributions from your University and rip out your previous contributions, as they were obviously submitted in bad-faith with the intent to cause problems.

† 参考

• Linuxカーネルに意図的にバグを混入したとして大学にコミュニティ出禁措置 - GIGAZINE
• Linux bans University of Minnesota for sending buggy patches in the name of research [Update] - Neowin