Wiadomo było kilka dni temu dwóch członków University of Minnesota celowo załatało jądro Linuksa z problemami bezpieczeństwa Była to część projektu badawczego, którego nie zatwierdzili ani Linus Torvalds, ani Linux Foundation. Kiedy więc dowiedział się, co robią, Greg Kroah-Hartman, prestiżowy programista odpowiedzialny za utrzymanie jądra Linuksa dla stabilnej gałęzi, zareagował, zabraniając nie tylko im, ale każdemu deweloperowi podłączonemu do UMN dalszego wnoszenia wkładu.
Natychmiast Rada Doradcza Linux Foundation, złożona z głównych deweloperów, wraz z innymi współpracownikami-wolontariuszami o udowodnionej odpowiedzialnościi zaczęli oceniać szkody. I już się komunikowali wynik.
Plamy niezgody
Stwierdzono, że spośród wszystkich 435 wkładów wniesionych przez członków uczelni zdecydowana większość była w porządku Z pozostałych 39 miało błędy i wymagało poprawienia; 25 zostało już poprawionych, 12 było już nieaktualnych; 9 dokonano przed powstaniem grupy śledczej, a jedną zlikwidowano na wniosek jej autora.
Osoby odpowiedzialne za złośliwe elementy używały dwóch fałszywych tożsamościs, co jest sprzeczne z udokumentowanymi wymaganiami dotyczącymi wnoszenia kodu do jądra Linuksa. Nie byłoby to możliwe bez współpracy instytucjonalnej, ponieważ uczelnia bezsprzecznie przyjęła „Świadectwo pochodzenia dewelopera”, prawne oświadczenie o zgłaszanej pracy.
Wbrew temu, co stwierdzili sprawcy, śledczy, Qiushi Wu i Aditya Pakki oraz ich doradca podyplomowy, Kangjie Lu, adiunkt na Wydziale Informatyki i Inżynierii UMN, z Komitetu Doradczego s.twierdził, że wszystkie celowo zgłaszane błędne poprawki zostały naprawione lub zignorowane, przez programistów i opiekunów jądra Linuksa. Wniosek był taki, że projekty przeglądu działały dobrze.
W rzeczywistości zakaz dotyczący University of Minnesota może nie być trwały. Wszystko podlega instytucji:
… Wyznacz grupę doświadczonych wewnętrznych programistów, którzy przejrzą i przekażą opinie na temat proponowanych zmian w jądrze, zanim te zmiany zostaną opublikowane. Ta poprawka wyłapie oczywiste błędy i zwalnia społeczność z potrzeby ciągłego przypominania programistom o pewnych elementarnych praktykach, takich jak przestrzeganie standardów kodowania i obszerne testy poprawek. W rezultacie otrzymujemy strumień poprawek o wyższej jakości, który będzie napotykał mniej problemów w społeczności jądra.
Przestępstwo nie popłaca
Naukowcy nie odniosą korzyści z wyników swoich badań. Artykuł, który przedstawili na sympozjum poświęconym bezpieczeństwu, został przyjęty. Ale przypuszczam, że pod naciskiem społeczności został wycofany przez samych autorów, którzy argumentowali:
Przede wszystkim popełniliśmy błąd, nie angażując się we współpracę ze społecznością jądra Linuksa przed przeprowadzeniem naszego badania. Rozumiemy teraz, że uczynienie tego przedmiotem naszych badań i marnowanie wysiłku na przeglądanie tych poprawek bez ich wiedzy i zgody było niewłaściwe i bolesne dla społeczności. Zamiast tego zdajemy sobie teraz sprawę, że właściwym sposobem wykonywania tego rodzaju pracy jest wcześniejsza współpraca z liderami społeczności, aby byli oni świadomi pracy, zatwierdzali jej cele i metody oraz mogli wspierać metody i wyniki, gdy praca zostanie zakończona. ukończone i opublikowane. Dlatego wycofujemy dokument, abyśmy nie skorzystali z nieprawidłowo przeprowadzonego badania.
Po drugie, biorąc pod uwagę wady naszych metod, nie chcemy, aby ta praca stanowiła model dla tego, jak można prowadzić badania w tej społeczności. Mamy raczej nadzieję, że ten odcinek będzie momentem nauki dla naszej społeczności, a wynikająca z niego dyskusja i zalecenia mogą służyć jako przewodnik dla właściwego dochodzenia w przyszłości.
Nie wydaje się też, że robienie badań jest bardzo dobre. University of Minnesota, próbując odpowiedzieć na prośbę Linux Foundation o raporty,Odkryłem, że proces tworzenia poprawek nie jest dobrze udokumentowany.
Gdybym miał dziecko, nie wysyłałbym go na studia na UM