Acum câteva zile se știa că doi membri ai Universității din Minnesota făcuseră în mod deliberat o corecție a nucleului Linux cu probleme de securitate Aceasta a făcut parte dintr-un proiect de cercetare pe care nici Linus Torvalds, nici Linux Foundation nu l-au aprobat. Așadar, când a aflat ce fac, Greg Kroah-Hartman, prestigiosul dezvoltator însărcinat cu întreținerea kernel-ului Linux pentru ramura stabilă, a reacționat interzicând nu numai acestora, ci oricărui dezvoltator conectat la UMN, să continue să contribuie.
Imediat, Consiliul consultativ al Fundației Linux, format din principalii dezvoltatori, împreună cu alți colaboratori voluntari cu responsabilitate dovedită.și au început să evalueze pagubele. Și au comunicat deja rezultatul.
Petele de discordie
Dintr-un total de 435 de contribuții făcute de membrii universității, s-a constatat că marea majoritate erau bine Din restul, 39 au avut erori și trebuiau corectate; 25 fuseseră deja corectate, 12 erau deja depășite; 9 au fost făcute înainte ca grupul de cercetare să existe și unul a fost eliminat la cererea autorului său.
Cei responsabili pentru contribuțiile rău intenționate au folosit două identități falses, care contravine cerințelor documentate pentru contribuția codului la kernel-ul Linux. Acest lucru nu s-ar fi putut face fără colaborarea instituțională, întrucât universitatea a acceptat fără îndoială „Certificatul de origine al dezvoltatorului”, o declarație legală despre munca depusă.
Contrar a ceea ce au afirmat autorii, anchetatorii, Qiushi Wu și Aditya Pakki, și consilierul lor absolvent, Kangjie Lu, profesor asistent în cadrul Departamentului de Informatică și Inginerie de la UMN, din Comitetul consultativ sa susținut că toate trimiterile de patch-uri în mod deliberat au fost remediate sau ignorate, de către dezvoltatorii și mentenanții kernel-ului Linux. Concluzia a fost că proiectele de revizuire au funcționat bine.
De fapt, interdicția asupra Universității din Minnesota poate să nu fie permanentă. Totul este supus instituției:
… Desemnați un grup de dezvoltatori interni cu experiență pentru a revizui și a oferi feedback cu privire la modificările propuse de kernel înainte ca aceste modificări să fie publicate public. Această remediere rapidă va surprinde erori evidente și va ușura comunitatea de necesitatea de a reaminti în mod repetat dezvoltatorilor unele practici elementare, cum ar fi respectarea standardelor de codare și testarea extensivă a patch-urilor. Acest lucru duce la un flux de patch-uri de calitate superioară, care va întâmpina mai puține probleme în comunitatea kernel.
Criminalitatea nu aduce venituri
Cercetătorii nu vor beneficia de rezultatele investigației lor. Lucrarea pe care o prezentaseră la un simpozion de securitate fusese acceptată. Dar, presupun că sub presiunea comunității a fost retrasă chiar de autorii care au argumentat:
În primul rând, am făcut o greșeală neimplicându-ne în colaborare cu comunitatea kernel Linux înainte de efectuarea studiului nostru. Acum înțelegem că a fost nepotrivit și dăunător pentru comunitate să facă din acesta un subiect al cercetării noastre și să-și irosească efortul examinând aceste patch-uri fără știrea sau permisiunea lor. În schimb, acum ne dăm seama că modul adecvat de a face acest tip de muncă este de a interacționa în prealabil cu liderii comunității, astfel încât aceștia să fie conștienți de lucrare, să-i aprobe obiectivele și metodele și să poată susține metodele și rezultatele odată ce lucrarea este finalizată. completat și publicat. Prin urmare, retragem documentul pentru a nu beneficia de un studiu incorect efectuat.
În al doilea rând, având în vedere defectele metodelor noastre, nu vrem ca această lucrare să reprezinte un model pentru modul în care se pot face cercetări în această comunitate. Mai degrabă, sperăm că acest episod va fi un moment de învățare pentru comunitatea noastră și că discuția și recomandările rezultate pot servi drept ghid pentru o investigație adecvată în viitor.
Nici nu pare că a face cercetări este foarte bun. Universitatea din Minnesota, încercând să răspundă la cererea de rapoarte a Fundației Linux,n-am constatat că procesul de creare a patch-urilor nu a fost foarte bine documentat.
Dacă aș avea un copil, nu l-aș trimite să studieze la UM