며칠 전에 미네소타 대학의 두 구성원은 보안 문제가있는 Linux 커널을 고의로 패치했습니다. 이것은 Linus Torvalds 나 Linux Foundation이 승인하지 않은 연구 프로젝트의 일부였습니다. 그래서 그가 무엇을하고 있는지 알게되었을 때, 안정 브랜치의 Linux 커널 유지를 담당하는 권위있는 개발자 인 Greg Kroah-Hartman은 그들뿐만 아니라 UMN에 연결된 모든 개발자가 계속해서 기여하는 것을 금지함으로써 대응했습니다.
즉시, Linux Foundation Advisory Council은 주요 개발자와 입증 된 책임을 가진 다른 자원 봉사자 협력자로 구성되었습니다.그리고 그들은 피해를 평가하기 시작했습니다. 와이 그들은 이미 의사 소통했다 결과.
불화의 패치
대학 회원들의 총 435 개 기여 중 대다수는 괜찮았다 나머지 39 명은 오류가있어 수정해야했습니다. 25 개는 이미 수정되었고 12 개는 이미 구식입니다. 9 개는 연구 그룹이 존재하기 전에 수행되었으며 XNUMX 개는 저자의 요청으로 제거되었습니다.
악의적 인 기여를 한 사람들은 두 가지 거짓 신원을 사용했습니다.s는 Linux 커널에 코드를 제공하기위한 문서화 된 요구 사항에 위배됩니다. 대학이 제출되는 작업에 대한 법적 성명 인 '개발자 원산지 증명서'를 의심 할 여지없이 받아 들였기 때문에 기관의 협력 없이는 불가능했을 것입니다.
가해자, 수사관 인 Qiushi Wu와 Aditya Pakki와 그들의 대학원 고문 인 UMN의 컴퓨터 공학과 조교수 Kangjie Lu는 자문위원회에서 말했습니다.고의로 버그가있는 모든 패치 제출이 수정되었거나 무시되었다고 주장했습니다. Linux 커널 개발자 및 유지 관리자에 의해. 결론은 검토 프로젝트가 잘 작동했다는 것입니다.
사실, 미네소타 대학에 대한 금지는 영구적이지 않을 수 있습니다. 모든 것은 기관에 따라 다릅니다.
… 해당 변경 사항이 공개되기 전에 제안 된 커널 변경 사항을 검토하고 피드백을 제공 할 숙련 된 사내 개발자 풀을 지정합니다. 이 핫픽스는 명백한 버그를 포착하고 개발자들에게 코딩 표준 준수 및 광범위한 패치 테스트와 같은 몇 가지 기본 관행을 반복적으로 상기시켜야하는 필요성을 커뮤니티에서 덜어줍니다. 그 결과 커널 커뮤니티에서 더 적은 문제가 발생하는 고품질 패치 스트림이 생성됩니다.
범죄는 지불하지 않습니다
조사자는 조사 결과로부터 혜택을받지 못합니다. 보안 심포지엄에서 발표 한 논문이 수락되었습니다. 그러나 나는 커뮤니티의 압력으로 다음과 같이 주장한 저자들에 의해 철회되었다고 생각합니다.
우선, 우리는 연구를 수행하기 전에 Linux 커널 커뮤니티와 협력하지 않는 실수를 저질렀습니다. 우리는 이제 커뮤니티가 그것을 우리 연구의 주제로 만들고 그들의 지식이나 허가없이 이러한 패치를 검토하는 데 그들의 노력을 낭비하는 것이 부적절하고 해롭다는 것을 이해합니다. 대신, 우리는 이제 이러한 종류의 작업을 수행하는 올바른 방법이 커뮤니티 리더와 사전에 참여하여 작업을 인식하고 목표와 방법을 승인하며 작업이 완료되면 방법과 결과를 지원할 수 있도록하는 것임을 알고 있습니다. 완료 및 게시되었습니다. 따라서 우리는 잘못 수행 된 연구의 혜택을받지 않도록 문서를 철회합니다.
둘째, 방법의 결함을 고려할 때이 작업이이 커뮤니티에서 연구를 수행 할 수있는 방법에 대한 모델이되기를 원하지 않습니다. 오히려이 에피소드가 우리 커뮤니티를위한 학습의 순간이되기를 바라며, 그에 따른 토론과 권장 사항이 향후 적절한 조사를위한 지침이되기를 바랍니다.
연구를하는 것이 매우 좋은 것 같지도 않습니다. 미네소타 대학은 Linux 재단의 보고서 요청에 응답하기 위해패치 제출 생성 프로세스가 잘 문서화되어 있지 않음을 발견했습니다.
아이가 있다면 UM에서 공부하라고 보내지 않을 것입니다.