Il y a quelques jours, on savait que deux membres de l'Université du Minnesota avaient délibérément corrigé le noyau Linux avec des problèmes de sécurité Cela faisait partie d'un projet de recherche que ni Linus Torvalds ni la Linux Foundation n'avaient approuvé. Alors quand il a découvert ce qu'ils faisaient, Greg Kroah-Hartman, le prestigieux développeur en charge de la maintenance du noyau Linux pour la branche stable, a réagi en interdisant non seulement à eux, mais à tout développeur connecté à l'UMN, de continuer à contribuer.
Immédiatement, le Conseil consultatif de la Linux Foundation, composé des principaux développeurs, ainsi que d'autres collaborateurs bénévoles de responsabilité avéréeet ils ont commencé à évaluer les dégâtsVous ils ont déjà communiqué le résultat.
Les plaques de discorde
Sur un total de 435 contributions faites par des membres de l'université, il a été constaté que la grande majorité allait bien Parmi les autres, 39 avaient des erreurs et devaient être corrigées; 25 avaient déjà été corrigés, 12 étaient déjà obsolètes; 9 avaient été réalisés avant la création du groupe de recherche et un a été éliminé à la demande de son auteur.
Les responsables des contributions malveillantes ont utilisé deux fausses identitéss, ce qui va à l'encontre des exigences documentées pour la contribution du code au noyau Linux. Cela n'aurait pas pu être fait sans une collaboration institutionnelle, car l'université a accepté sans aucun doute le «certificat d'origine du développeur», une déclaration légale sur le travail soumis.
Contrairement à ce que les auteurs, les enquêteurs, Qiushi Wu et Aditya Pakki, et leur conseiller diplômé, Kangjie Lu, professeur adjoint au Département d'informatique et d'ingénierie de l'UMN, ont déclaré, du Comité consultatif sa soutenu que toutes les soumissions de correctifs délibérément bogués ont été corrigées, ou ignorées, par les développeurs et mainteneurs du noyau Linux. La conclusion était que les projets d'examen fonctionnaient bien.
En fait, l'interdiction de l'Université du Minnesota peut ne pas être permanente. Tout est soumis à l'institution:
… Désignez un groupe de développeurs internes expérimentés pour examiner et fournir des commentaires sur les modifications proposées du noyau avant que ces modifications ne soient rendues publiques. Ce correctif détectera les bogues évidents et soulagera la communauté de la nécessité de rappeler à plusieurs reprises aux développeurs certaines pratiques élémentaires telles que le respect des normes de codage et des tests de correctifs approfondis. Cela se traduit par un flux de correctifs de meilleure qualité qui rencontrera moins de problèmes dans la communauté du noyau.
Le crime ne paie pas
Les chercheurs ne bénéficieront pas des résultats de leur enquête. Le document qu’ils avaient présenté lors d’un symposium sur la sécurité avait été accepté. Mais, je suppose que sous la pression de la communauté, il a été retiré par les auteurs eux-mêmes qui ont soutenu:
Tout d'abord, nous avons commis une erreur en ne collaborant pas avec la communauté du noyau Linux avant de mener notre étude. Nous comprenons maintenant qu'il était inapproprié et blessant pour la communauté d'en faire un sujet de nos recherches et de gaspiller leurs efforts en examinant ces correctifs à leur insu ou sans leur permission. Au lieu de cela, nous réalisons maintenant que la bonne façon de faire ce genre de travail est de s'engager avec les leaders communautaires à l'avance afin qu'ils soient conscients du travail, approuvent ses objectifs et ses méthodes, et puissent soutenir les méthodes et les résultats une fois le travail terminé. achevé et publié. Par conséquent, nous retirons le document afin de ne pas bénéficier d'une étude mal menée.
Deuxièmement, étant donné les failles de nos méthodes, nous ne voulons pas que ce travail serve de modèle sur la manière dont la recherche peut être menée dans cette communauté. Nous espérons plutôt que cet épisode sera un moment d'apprentissage pour notre communauté et que la discussion et les recommandations qui en découleront pourront servir de guide pour une enquête appropriée à l'avenir.
Il ne semble pas non plus que faire de la recherche soit très bon. L'Université du Minnesota, en essayant de répondre à la demande de rapports de la Linux Foundation,nont trouvé que le processus de création de soumission de correctifs n'était pas très bien documenté.
Si j'avais un enfant, je ne l'enverrais pas étudier à l'UM