Vor ein paar Tagen war das bekannt Zwei Mitglieder der University of Minnesota hatten den Linux-Kernel absichtlich mit Sicherheitsproblemen gepatcht Dies war Teil eines Forschungsprojekts, das weder Linus Torvalds noch die Linux Foundation genehmigt hatten. Als er herausfand, was sie taten, war Greg Kroah-Hartman, der renommierte Entwickler, der für die Wartung des Linux-Kernels für den stabilen Zweig verantwortlich ist, reagierte, indem er nicht nur ihnen, sondern jedem mit UMN verbundenen Entwickler untersagte, weiterhin Beiträge zu leisten.
Sofort setzte sich der Beirat der Linux Foundation aus den Hauptentwicklern zusammen mit anderen freiwilligen Mitarbeitern mit nachweislicher Verantwortung zusammenund sie begannen, den Schaden einzuschätzen. Y sie haben bereits kommuniziert das Ergebnis
Die Flecken der Zwietracht
Aus insgesamt 435 Beiträgen von Universitätsmitgliedern wurde festgestellt, dass Die überwiegende Mehrheit war in Ordnung Von den übrigen hatten 39 Fehler und mussten korrigiert werden; 25 waren bereits korrigiert worden, 12 waren bereits veraltet; 9 wurde durchgeführt, bevor die Forschungsgruppe existierte, und eine wurde auf Antrag ihres Autors eliminiert.
Die Verantwortlichen für die böswilligen Beiträge verwendeten zwei falsche Identitätens, was gegen die dokumentierten Anforderungen für das Einbringen von Code in den Linux-Kernel verstößt. Dies wäre ohne institutionelle Zusammenarbeit nicht möglich gewesen, da die Universität zweifelsohne das „Developer Certificate of Origin“, eine rechtliche Erklärung zu den eingereichten Arbeiten, akzeptiert hat.
Im Gegensatz zu dem, was die Täter, die Ermittler Qiushi Wu und Aditya Pakki sowie ihr Diplomberater Kangjie Lu, Assistenzprofessor am Institut für Informatik und Ingenieurwesen der UMN, aus dem Beirat sagtenhielt fest, dass alle absichtlich fehlerhaften Patch-Einreichungen behoben oder ignoriert wurden, von Linux-Kernel-Entwicklern und Betreuern. Die Schlussfolgerung war, dass die Überprüfungsprojekte gut funktionierten.
Tatsächlich Das Verbot der University of Minnesota ist möglicherweise nicht dauerhaft. Alles unterliegt der Institution:
… Benennen Sie einen Pool erfahrener interner Entwickler, um die vorgeschlagenen Kerneländerungen zu überprüfen und Feedback zu geben, bevor diese Änderungen öffentlich veröffentlicht werden. Dieser Hotfix erkennt offensichtliche Fehler und entlastet die Community von der Notwendigkeit, Entwickler wiederholt an einige grundlegende Praktiken wie die Einhaltung von Codierungsstandards und umfangreiche Patch-Tests zu erinnern. Dies führt zu einem Patch-Stream mit höherer Qualität, bei dem in der Kernel-Community weniger Probleme auftreten.
Verbrechen zahlt sich nicht aus
Forscher werden von den Ergebnissen ihrer Untersuchung nicht profitieren. Das Papier, das sie auf einem Sicherheitssymposium vorgestellt hatten, war angenommen worden. Aber ich nehme an, dass es unter dem Druck der Community von den Autoren selbst zurückgezogen wurde, die argumentierten:
Zunächst haben wir einen Fehler gemacht, indem wir vor der Durchführung unserer Studie nicht mit der Linux-Kernel-Community zusammengearbeitet haben. Wir verstehen jetzt, dass es für die Community unangemessen und verletzend war, es zu einem Gegenstand unserer Forschung zu machen und ihre Mühe damit zu verschwenden, diese Patches ohne ihr Wissen oder ihre Erlaubnis zu überprüfen. Stattdessen erkennen wir jetzt, dass der richtige Weg, diese Art von Arbeit zu erledigen, darin besteht, sich im Voraus mit Führungskräften der Gemeinde in Verbindung zu setzen, damit diese sich der Arbeit bewusst sind, ihre Ziele und Methoden genehmigen und die Methoden und Ergebnisse unterstützen können, sobald die Arbeit abgeschlossen ist abgeschlossen und veröffentlicht. Daher ziehen wir das Dokument zurück, damit wir nicht von einer falsch durchgeführten Studie profitieren.
Zweitens möchten wir angesichts der Mängel in unseren Methoden nicht, dass diese Arbeit als Modell dafür dient, wie Forschung in dieser Gemeinschaft durchgeführt werden kann. Wir hoffen vielmehr, dass diese Episode ein Lernmoment für unsere Community sein wird und dass die daraus resultierenden Diskussionen und Empfehlungen als Leitfaden für eine ordnungsgemäße Untersuchung in der Zukunft dienen können.
Es scheint auch nicht, dass Forschung sehr gut ist. Die University of Minnesota, die versucht, auf die Anfrage der Linux Foundation nach Berichten zu antworten,Es wurde festgestellt, dass der Erstellungsprozess der Patch-Übermittlung nicht sehr gut dokumentiert war.
Wenn ich ein Kind hätte, würde ich es nicht zum Studium an die UM schicken