Beberapa hari yang lalu diketahui bahawa dua anggota University of Minnesota sengaja menambal kernel Linux dengan masalah keselamatan Ini adalah sebahagian daripada projek penyelidikan yang tidak disetujui oleh Linus Torvalds atau Linux Foundation. Oleh itu, ketika dia mengetahui apa yang mereka lakukan, Greg Kroah-Hartman, pemaju berprestij yang bertanggungjawab menjaga kernel Linux untuk cawangan stabil, bertindak balas dengan melarang bukan sahaja mereka, tetapi mana-mana pembangun yang berhubung dengan UMN, untuk terus menyumbang.
Segera, Majlis Penasihat Yayasan Linux, yang terdiri daripada pembangun utama, bersama-sama dengan kolaborator sukarelawan lain yang bertanggungjawab.dan mereka mula menilai kerosakan. Y mereka sudah berkomunikasi keputusan.
Pecahan perselisihan
Dari sejumlah 435 sumbangan yang dibuat oleh anggota universiti, didapati bahawa majoriti baik Selebihnya, 39 mempunyai kesalahan dan perlu diperbetulkan; 25 sudah diperbaiki, 12 sudah usang; 9 telah dilakukan sebelum kumpulan penyelidikan wujud dan satu disingkirkan atas permintaan pengarangnya.
Mereka yang bertanggungjawab atas sumbangan jahat menggunakan dua identiti palsus, yang bertentangan dengan keperluan yang didokumentasikan untuk menyumbang kod ke kernel Linux. Ini tidak mungkin dilakukan tanpa kerjasama institusi kerana universiti menerima tanpa mempersoalkan 'Pembangun Sijil Asal', pernyataan undang-undang mengenai karya yang sedang diserahkan.
Bertentangan dengan apa yang dinyatakan oleh pelaku, penyiasat, Qiushi Wu dan Aditya Pakki, dan penasihat siswazah mereka, Kangjie Lu, penolong profesor di Jabatan Sains Komputer dan Kejuruteraan di UMN, menyatakan, dari Jawatankuasa Penasihatberhujah bahawa semua penyampaian tambalan kereta dengan sengaja diperbaiki, atau diabaikan, oleh pembangun dan penyelenggara kernel Linux. Kesimpulannya adalah bahawa projek kajian berjalan dengan baik.
Malah, larangan Universiti Minnesota mungkin tidak kekal. Semuanya tertakluk kepada institusi:
… Tentukan kumpulan pengembang dalaman yang berpengalaman untuk mengkaji dan memberikan maklum balas mengenai cadangan perubahan kernel sebelum perubahan tersebut diluncurkan secara terbuka. Perbaikan panas ini akan menangkap pepijat yang jelas dan melegakan komuniti dari keperluan untuk berulang kali mengingatkan pemaju mengenai beberapa amalan asas seperti kepatuhan pada piawaian pengekodan dan ujian tambalan yang luas. Ini menghasilkan aliran tampalan berkualiti tinggi yang akan menghadapi lebih sedikit masalah dalam komuniti kernel.
Jenayah tidak membayar
Penyelidik tidak akan mendapat keuntungan dari hasil penyelidikan mereka. Makalah yang mereka kemukakan di simposium keselamatan telah diterima. Tetapi, saya rasa bahawa di bawah tekanan masyarakat ditarik oleh pengarang sendiri yang berpendapat:
Pertama sekali, kami melakukan kesalahan dengan tidak bekerjasama dengan komuniti kernel Linux sebelum menjalankan kajian kami. Kami sekarang memahami bahawa tidak wajar dan menyakitkan bagi masyarakat untuk menjadikannya sebagai subjek kajian kami dan membuang usaha mereka untuk mengkaji semula tambalan ini tanpa pengetahuan atau kebenaran mereka. Sebagai gantinya, kita sekarang menyedari bahawa cara yang tepat untuk melakukan pekerjaan seperti ini adalah dengan berinteraksi dengan pemimpin masyarakat terlebih dahulu sehingga mereka mengetahui pekerjaan itu, menyetujui tujuan dan kaedahnya, dan dapat menyokong kaedah dan hasilnya setelah pekerjaan itu selesai. selesai dan diterbitkan. Oleh itu, kami menarik balik dokumen tersebut agar tidak mendapat manfaat daripada kajian yang tidak betul.
Kedua, memandangkan kelemahan dalam kaedah kami, kami tidak mahu karya ini berdiri sebagai model bagaimana penyelidikan dapat dilakukan di komuniti ini. Sebaliknya, kami berharap bahawa episod ini akan menjadi momen pembelajaran bagi komuniti kami, dan perbincangan dan cadangan yang dihasilkan dapat menjadi panduan untuk penyelidikan yang tepat di masa depan.
Nampaknya melakukan kajian adalah sangat baik. University of Minnesota, dalam usaha menanggapi permintaan laporan Yayasan Linux,Jika proses pembuatan penyerahan tambalan tidak didokumentasikan dengan baik.
Sekiranya saya mempunyai anak, saya tidak akan menghantarnya belajar di UM