For noen dager siden var det kjent at to medlemmer av University of Minnesota hadde bevisst lappet Linux-kjernen med sikkerhetsproblemer Dette var en del av et forskningsprosjekt som verken Linus Torvalds eller Linux Foundation hadde godkjent. Så da han fant ut hva de gjorde, Greg Kroah-Hartman, den prestisjetunge utvikleren som hadde ansvaret for å vedlikeholde Linux-kjernen for den stabile grenen, reagerte ved å forby ikke bare dem, men enhver utvikler tilknyttet UMN, for å fortsette å bidra.
Straks besto Advisory Council of Linux Foundation av hovedutviklerne, sammen med andre frivillige samarbeidspartnere med bevist ansvar.og de begynte å vurdere skaden. og de kommuniserte allerede resultatet.
Uenighetene
Av totalt 435 bidrag fra medlemmer av universitetet, ble det funnet at de aller fleste hadde det bra Av resten hadde 39 feil og trengte å bli rettet; 25 hadde allerede blitt rettet, 12 var allerede foreldet; 9 hadde blitt gjort før forskningsgruppen eksisterte, og en ble eliminert på forespørsel fra forfatteren.
De som var ansvarlige for de ondsinnede bidragene, brukte to falske identiteters, som strider mot de dokumenterte kravene for å bidra med kode til Linux-kjernen. Dette kunne ikke vært gjort uten institusjonelt samarbeid da universitetet utvilsomt aksepterte 'Developer Certificate of Origin', en juridisk uttalelse om arbeidet som ble levert.
I motsetning til hva gjerningsmennene, etterforskerne, Qiushi Wu og Aditya Pakki, og deres kandidatrådgiver, Kangjie Lu, assisterende professor ved Institutt for informatikk ved UMN, uttalte, fra den rådgivende komiteenmente at alle bevisst feilmeldinger ble løst eller ignorert, av Linux-kjerneutviklere og vedlikeholdere. Konklusjonen var at gjennomgangsprosjektene fungerte bra.
Faktisk, forbudet mot University of Minnesota kan ikke være permanent. Alt er underlagt institusjonen:
… Utpeke et basseng med erfarne interne utviklere som skal gjennomgå og gi tilbakemelding på foreslåtte kjerneendringer før disse endringene blir offentliggjort. Denne hurtigreparasjonen vil fange åpenbare feil og avlaste samfunnet fra behovet for å gjentatte ganger minne utviklere om noen grunnleggende fremgangsmåter som overholdelse av kodingsstandarder og omfattende patchtesting. Dette resulterer i en oppdateringsstrøm av høyere kvalitet som vil støte på færre problemer i kjernefellesskapet.
Kriminalitet lønner seg ikke
Forskere vil ikke ha nytte av resultatene av undersøkelsen. Papiret de hadde lagt frem på et sikkerhetssymposium var akseptert. Men jeg antar at under press fra samfunnet ble det trukket tilbake av forfatterne selv som argumenterte:
Først og fremst gjorde vi en feil ved ikke å delta i samarbeid med Linux-kjernesamfunnet før vi gjennomførte studien. Vi forstår nå at det var upassende og sårende for samfunnet å gjøre det til et tema for vår forskning og kaste bort deres innsats med å gjennomgå disse oppdateringene uten deres viten eller tillatelse. I stedet innser vi nå at den riktige måten å gjøre denne typen arbeid på er å engasjere seg med lokalledere på forhånd, slik at de er klar over arbeidet, godkjenner dets mål og metoder, og kan støtte metodene og resultatene når arbeidet er fullført og publisert. Derfor trekker vi dokumentet tilbake slik at vi ikke drar nytte av en feil utført studie.
For det andre, med tanke på feilene i metodene våre, ønsker vi ikke at dette arbeidet skal være en modell for hvordan forskning kan gjøres i dette samfunnet. Snarere håper vi at denne episoden vil være et læringsøyeblikk for samfunnet vårt, og at den resulterende diskusjonen og anbefalingene kan tjene som en veiledning for riktig etterforskning i fremtiden.
Det virker heller ikke som å gjøre forskning er veldig bra. University of Minnesota, i et forsøk på å svare på Linux-stiftelsens forespørsel om rapporter,fant ut at prosessen med å lage oppdateringer ikke var veldig godt dokumentert.
Hvis jeg hadde et barn, ville jeg ikke sendt ham til å studere ved UM