Qualche giorno fa lo si sapeva due membri dell'Università del Minnesota avevano deliberatamente applicato patch al kernel di Linux con problemi di sicurezza Questo faceva parte di un progetto di ricerca che né Linus Torvalds né la Linux Foundation avevano approvato. Quindi, quando ha scoperto cosa stavano facendo, Greg Kroah-Hartman, il prestigioso sviluppatore incaricato di mantenere il kernel Linux per il ramo stabile, ha reagito vietando non solo a loro, ma a qualsiasi sviluppatore connesso a UMN, di continuare a contribuire.
Immediatamente, l'Advisory Council della Linux Foundation, composto dai principali sviluppatori, insieme ad altri collaboratori volontari di comprovata responsabilità se hanno iniziato a valutare i danni. Y hanno già comunicato il risultato
Le macchie di discordia
Su un totale di 435 contributi effettuati da membri dell'università, è stato rilevato che la stragrande maggioranza andava bene Del resto, 39 presentavano errori e dovevano essere corretti; 25 erano già state corrette, 12 erano già obsolete; 9 era stato fatto prima che il gruppo investigativo esistesse e uno è stato eliminato su richiesta del suo autore.
I responsabili dei contributi dannosi hanno utilizzato due false identitàs, che va contro i requisiti documentati per fornire codice al kernel Linux. Ciò non sarebbe stato possibile senza la collaborazione istituzionale poiché l'università ha accettato senza riserve il "Developer Certificate of Origin", una dichiarazione legale sul lavoro presentato.
Contrariamente a quanto hanno dichiarato gli autori, gli investigatori, Qiushi Wu e Aditya Pakki, e il loro consigliere laureato, Kangjie Lu, assistente professore presso il Dipartimento di informatica e ingegneria dell'UMN, dal Comitato consultivo sha sostenuto che tutti gli invii di patch deliberatamente difettosi sono stati corretti o ignorati, dagli sviluppatori e dai manutentori del kernel Linux. La conclusione è stata che i progetti di revisione hanno funzionato bene.
Infatti, il divieto all'Università del Minnesota potrebbe non essere permanente. Tutto è soggetto all'istituzione:
... Designare un pool di sviluppatori interni esperti per esaminare e fornire feedback sulle modifiche proposte al kernel prima che tali modifiche vengano rilasciate pubblicamente. Questo hotfix individuerà bug evidenti e solleverà la comunità dalla necessità di ricordare ripetutamente agli sviluppatori alcune pratiche elementari come l'aderenza agli standard di codifica e il test di patch esteso. Ciò si traduce in un flusso di patch di qualità superiore che incontrerà meno problemi nella comunità del kernel.
Il crimine non paga
I ricercatori non trarranno vantaggio dai risultati della loro indagine. Il documento che avevano presentato a un simposio sulla sicurezza era stato accettato. Ma suppongo che sotto la pressione della comunità sia stato ritirato dagli stessi autori che hanno sostenuto:
Prima di tutto, abbiamo commesso un errore non impegnandoci in collaborazione con la comunità del kernel Linux prima di condurre il nostro studio. Ora comprendiamo che era inappropriato e dannoso per la comunità renderlo un oggetto della nostra ricerca e sprecare i propri sforzi nel rivedere queste patch senza la loro conoscenza o autorizzazione. Invece, ora ci rendiamo conto che il modo corretto per svolgere questo tipo di lavoro è impegnarsi in anticipo con i leader della comunità in modo che siano consapevoli del lavoro, approvino i suoi obiettivi e metodi e possano supportare i metodi e i risultati una volta che il lavoro è terminato. completato e pubblicato. Pertanto, stiamo ritirando il documento in modo da non beneficiare di uno studio condotto in modo errato.
In secondo luogo, dati i difetti dei nostri metodi, non vogliamo che questo lavoro rappresenti un modello di come la ricerca può essere condotta in questa comunità. Piuttosto, speriamo che questo episodio sia un momento di apprendimento per la nostra comunità e che la discussione e le raccomandazioni risultanti possano servire come guida per un'indagine adeguata in futuro.
Né sembra che fare ricerca sia molto buono. L'Università del Minnesota, nel tentativo di rispondere alla richiesta di rapporti della Linux Foundation,Ho scoperto che il processo di creazione dell'invio della patch non era molto ben documentato.
Se avessi un figlio, non lo manderei a studiare alla UM