Néhány nappal ezelőtt ezt tudni lehetett a Minnesotai Egyetem két tagja szándékosan javította a Linux kernelét biztonsági problémákkal Ez egy olyan kutatási projekt része volt, amelyet sem Linus Torvalds, sem a Linux Alapítvány nem hagyott jóvá. Tehát amikor megtudta, hogy mit csinálnak, Greg Kroah-Hartman, a tekintélyes fejlesztő, aki a Linux kernel karbantartásáért felel a stabil ágért, úgy reagált, hogy megtiltotta nemcsak nekik, hanem az UMN-hez kapcsolódó fejlesztõknek is a hozzájárulás folytatását.
Rögtön a fő fejlesztőkből álló Linux Alapítvány Tanácsadó Testülete más bizonyított felelősséggel rendelkező önkéntes munkatársakkal együtt.és elkezdték felmérni a kárt. és már kommunikáltak az eredmény.
A viszály foltjai
Az egyetem tagjai által tett összesen 435 hozzászólásból kiderült, hogy a túlnyomó többség rendben volt A többiek közül 39-ben voltak hibák, és javításra szorult; 25 már javult, 12 már elavult; 9-et a kutatócsoport létezése előtt végeztek, és egyet szerzőjének kérésére megszüntettek.
A rosszindulatú hozzájárulásért felelős személyek két hamis személyazonosságot használtaks, ami ellentétes a Linux kernelhez való kód hozzáadásának dokumentált követelményeivel. Ezt nem lehetett volna megtenni intézményi együttműködés nélkül, mivel az egyetem vitathatatlanul elfogadta a „Fejlesztői eredetigazolást”, egy jogi nyilatkozatot a benyújtott munkáról.
Ellentétben az elkövetőkkel, a nyomozók, Qiushi Wu és Aditya Pakki, valamint diplomás tanácsadójuk, Kangjie Lu, az UMN Számítástechnika és Mérnöki Tanszék adjunktusa kijelentették aazzal érvelt, hogy az összes szándékosan hibás javítás beküldését kijavították vagy figyelmen kívül hagyták, a Linux kernel fejlesztői és karbantartói. A következtetés az volt, hogy a felülvizsgálati projektek jól működtek.
Valójában, a Minnesotai Egyetem tilalma nem lehet tartós. Minden az intézmény alá tartozik:
... Jelöljön ki egy tapasztalt házon belüli fejlesztőt, hogy ellenőrizze és visszajelzést adjon a javasolt kernelváltozásokról, mielőtt ezeket a változásokat nyilvánosan közzétennék. Ez a gyorsjavítás nyilvánvaló hibákat fog el, és felmenti a közösséget annak szükségességétől, hogy ismételten emlékeztesse a fejlesztőket néhány alapvető gyakorlatra, például a kódolási szabványok betartására és a kiterjedt javítások tesztelésére. Ez jobb minőségű patch folyamatot eredményez, amely kevesebb problémával fog találkozni a kernel közösségében.
A bűnözés nem fizet
A kutatók nem profitálhatnak a vizsgálat eredményéből. A biztonsági szimpóziumon bemutatott dokumentumot elfogadták. De feltételezem, hogy a közösség nyomására a szerzők maguk visszavonták, és azzal érveltek:
Először is, hibát követtünk el, amikor a tanulmány elvégzése előtt nem vettünk részt a Linux kernel közösségével. Most már megértettük, hogy nem volt helyénvaló és bántó a közösség számára, hogy ezt kutatásunk tárgyává tegyük, és fárasztó erőfeszítéseket végezzünk a javítások áttekintése nélkül, a tudásuk vagy engedélyük nélkül. Ehelyett most már rájövünk, hogy az ilyen jellegű munka elvégzésének megfelelő módja az, ha előzetesen kapcsolatba lépünk a közösség vezetőivel, hogy tisztában legyenek a munkával, jóváhagyják annak céljait és módszereit, és támogathassák a módszereket és eredményeket, amint a munka elkészült. elkészült és megjelent. Ezért visszavonjuk a dokumentumot, hogy ne élvezhessük a helytelenül elvégzett tanulmány előnyeit.
Másodszor, tekintve a módszereink hibáit, nem akarjuk, hogy ez a munka modellként szolgáljon a kutatás elvégzésének módjára ebben a közösségben. Inkább abban reménykedünk, hogy ez az epizód tanulási pillanat lesz közösségünk számára, és hogy az ebből fakadó vita és ajánlások útmutatásul szolgálhatnak a jövőbeni megfelelő nyomozáshoz.
Az sem tűnik, hogy a kutatás elvégzése nagyon jó lenne. A Minnesotai Egyetem, amikor megpróbált válaszolni a Linux Alapítvány jelentésekre vonatkozó kérésére,Azt találtuk, hogy a javítás benyújtásának folyamatát nem nagyon dokumentálták.
Ha lenne gyerekem, nem küldném őt az UM-be tanulni