Fa uns dies es va conèixer que dos membres de la Universitat de Minnesota havien estat introduint deliberadament pegats amb problemes de seguretat en el nucli Linux Això formava part d'un projecte d'investigació que ni Linus Torvalds ni la Linux Foundation, havien aprovat. Va ser així que, quan va saber el que estaven fent, Greg Kroah-Hartman, el prestigiós desenvolupador a càrrec de l'manteniment de el nucli de Linux per a la branca estable, va reaccionar prohibint no només a ells, sinó a qualsevol desenvolupador connectat a UMN, seguir contribuint.
Immediatament, el Consell Assessor de la Linux Foundation, conformat pels principals desenvolupadors, al costat d'altres col·laboradors voluntaris de responsabilitat provada si van posar a avaluar els danys. I ja van comunicar el resultat.
Els pegats de la discòrdia
Sobre un total de 435 contribucions que van fer els membres de la universitat, es va descobrir que la gran majoria estaves bé De la resta, 39 tenien errors i necessitaven ser corregides; 25 ja havien estat corregides, 12 ia eren obsoletes; 9 s'havien fet abans que existís el grup de recerca i una va ser eliminada per petició del seu autor.
Els responsables de les contribucions malicioses van utilitzar dues identitats falsas, el que va en contra dels requisits documentats sobre com contribuir amb el codi a el nucli de Linux. Això no podria haver-se fet sense col·laboració institucional ja que la universitat va acceptar sense qüestionaments el'Certificado d'Origen dels Desenvolupadors ', una declaració legal sobre el treball que s'està presentant.
A l'contrari del que els perpetradors, els investigadors, Qiushi Wu i Aditya Pakki, i el seu assessor graduat, Kangjie Lu, professor assistent de el Departament de Ciències de la Computació i Enginyeria de la UMN, van declarar, des del Comitè assessor sostuvieron que tots els enviaments de pegats amb errors deliberats van ser corregits, o ignorats, pels desenvolupadors i mantenidors de el nucli de Linux. La conclusió va ser que els projectes de revisió van funcionar correctament.
De fet, el baneo a la Universitat de Minnesota podria no ser permanent. Tot està supeditat al fet que la institució:
... designi un conjunt de desenvolupadors interns experimentats per revisar i proporcionar comentaris sobre els canvis proposats d'el nucli abans que aquests canvis s'enviïn públicament. Aquesta revisió detectarà errors obvis i alleujarà a la comunitat de la necessitat de recordar repetidament als desenvolupadors algunes pràctiques elementals com el compliment dels estàndards de codificació i proves exhaustives de pegats. Això es tradueix en un flux de pegats de major qualitat que trobarà menys problemes en la comunitat de l'nucli.
El crim no paga
Els investigadors no es beneficiaran de l'resultat de la seva recerca. El paper que havien presentat a un simposi de seguretat havia estat acceptat. Però, suposo que davant la pressió de la comunitat va ser retirat porl us propis autors que van argumentar:
En primer lloc, vam cometre un error al no participar en col·laboració amb la comunitat de el nucli de Linux abans de realitzar el nostre estudi. Ara entenem que va ser inapropiat i feridor per a la comunitat fer-ho un tema de la nostra investigació i desaprofitar el seu esforç revisant aquests pegats sense el seu coneixement o permís. En canvi, ara ens adonem que el lloc idoni de fer aquest tipus de treball és comprometre amb els líders comunitaris per endavant perquè siguin conscients de la feina, aprovin les seves metes i mètodes, i puguin donar suport als mètodes i resultats una vegada que el treball es completi i publiqui. Per tant, estem retirant el document perquè no ens beneficiem d'un estudi realitzat incorrectament.
En segon lloc, donades les falles en els nostres mètodes, no volem que aquest treball es mantingui com un model de com es pot fer la recerca en aquesta comunitat. Per contra, esperem que aquest episodi sigui un moment d'aprenentatge per a la nostra comunitat, i que la discussió i recomanacions resultants puguin servir com a guia per a una investigació adequada en el futur.
Tampoc sembla que fent investigacions siguin molt bons. La Universitat de Minnesota, a l'intentar respondre a la comanda d'informes de la Linux Foundation, es incontró amb que el procés de creació enviament dels pegats no estava molt ben documentat.
Si tingués un fill, no ho enviaria a estudiar a la UM