For et par dage siden vidste man det to medlemmer af University of Minnesota havde bevidst plettet Linux-kernen med sikkerhedsproblemer Dette var en del af et forskningsprojekt, som hverken Linus Torvalds eller Linux Foundation havde godkendt. Så da han fandt ud af, hvad de lavede, Greg Kroah-Hartman, den prestigefyldte udvikler med ansvar for vedligeholdelse af Linux-kernen til den stabile gren, reagerede ved at forbyde ikke kun dem, men enhver udvikler, der er forbundet med UMN, at fortsætte med at bidrage.
Straks bestod det rådgivende råd fra Linux Foundation af hovedudviklerne sammen med andre frivillige samarbejdspartnere med bevist ansvarog de begyndte at vurdere skaden. og de kommunikerede allerede resultatet.
Uenighedens pletter
Ud af i alt 435 bidrag fra medlemmer af universitetet blev det konstateret, at langt de fleste havde det fint Af de øvrige havde 39 fejl og skulle rettes; 25 var allerede rettet, 12 var allerede forældede; 9 var blevet gjort, inden forskergruppen eksisterede, og en blev elimineret efter anmodning fra dens forfatter.
De ansvarlige for de ondsindede bidrag brugte to falske identiteters, hvilket er i modstrid med de dokumenterede krav til at bidrage med kode til Linux-kernen. Dette kunne ikke have været gjort uden institutionelt samarbejde, da universitetet utvivlsomt accepterede 'Developer Certificate of Origin', en juridisk erklæring om det arbejde, der blev indsendt.
I modsætning til hvad gerningsmændene, efterforskerne, Qiushi Wu og Aditya Pakki, og deres kandidatrådgiver, Kangjie Lu, assisterende professor i Institut for Computervidenskab og Ingeniør ved UMN, sagde fra det rådgivende udvalgfastslog, at alle bevidst buggy patch-indsendelser blev rettet eller ignoreret, af Linux-kerneudviklere og vedligeholdere. Konklusionen var, at gennemgangsprojekterne fungerede godt.
Faktisk, forbuddet mod University of Minnesota er muligvis ikke permanent. Alt er underlagt institutionen:
... Udpeg en pulje af erfarne interne udviklere, der skal gennemgå og give feedback om foreslåede kernelændringer, før disse ændringer offentliggøres. Dette hotfix vil fange indlysende fejl og aflaste samfundet for behovet for gentagne gange at minde udviklere om nogle grundlæggende fremgangsmåder, såsom overholdelse af kodningsstandarder og omfattende patch-test. Dette resulterer i en patch-stream af højere kvalitet, der støder på færre problemer i kernensamfundet.
Kriminalitet betaler ikke
Forskere vil ikke drage fordel af resultaterne af deres undersøgelse. Papiret, de havde fremlagt på et sikkerhedssymposium, blev accepteret. Men jeg formoder, at det under samfundets pres blev trukket tilbage af forfatterne selv, der argumenterede:
Først og fremmest lavede vi en fejl ved ikke at engagere os i samarbejde med Linux-kernesamfundet, inden vi gennemførte vores undersøgelse. Vi forstår nu, at det var upassende og sårende for samfundet at gøre det til et emne for vores forskning og at spilde deres indsats med at gennemgå disse patches uden deres viden eller tilladelse. I stedet for indser vi nu, at den rigtige måde at udføre denne slags arbejde på er på forhånd at engagere sig med samfundsledere, så de er opmærksomme på arbejdet, godkender dets mål og metoder og kan støtte metoderne og resultaterne, når arbejdet er udfyldt og offentliggjort. Derfor trækker vi dokumentet tilbage, så vi ikke drager fordel af en forkert udført undersøgelse.
For det andet, i betragtning af manglerne i vores metoder, ønsker vi ikke, at dette arbejde skal være en model for, hvordan forskning kan udføres i dette samfund. Vi håber snarere, at denne episode vil være et læringsmoment for vores samfund, og at den resulterende diskussion og anbefalinger kan tjene som en guide til korrekt efterforskning i fremtiden.
Det ser heller ikke ud til, at det er meget godt at lave forskning. University of Minnesota forsøgte at svare på Linux Foundation's anmodning om rapporter,nfandt, at oprettelsesprocessen for patchindsendelse ikke var særlig veldokumenteret.
Hvis jeg havde et barn, ville jeg ikke sende ham til at studere ved UM