Несколько дней назад стало известно, что два сотрудника Миннесотского университета намеренно исправляли ядро Linux с проблемами безопасности. Это было частью исследовательского проекта, который не был одобрен ни Линусом Торвальдсом, ни Linux Foundation. Поэтому, когда он узнал, что они делают, Грег Кроа-Хартман, престижный разработчик, отвечающий за поддержку ядра Linux для стабильной ветки, отреагировал запретом не только им, но и любому разработчику, подключенному к UMN, продолжать вносить свой вклад.
Сразу же Консультативный совет Linux Foundation, состоящий из основных разработчиков, наряду с другими добровольными сотрудниками с подтвержденной ответственностью.и начали оценивать ущерб. И они уже общались результат
Пятна раздора
Из 435 взносов, сделанных членами университета, было обнаружено, что подавляющее большинство было в порядке Из остальных 39 были ошибки, и их нужно было исправить; 25 уже исправлены, 12 уже устарели; 9 из них были выполнены до того, как существовала исследовательская группа, а одна была ликвидирована по просьбе ее автора.
Лица, ответственные за злонамеренные материалы, использовали две ложные личности.s, что противоречит документированным требованиям к добавлению кода в ядро Linux. Это было бы невозможно без институционального сотрудничества, поскольку университет безоговорочно принял «Сертификат происхождения разработчика», юридическое заявление о представленной работе.
Вопреки тому, что заявили преступники, следователи Цюши Ву и Адитья Пакки, а также их научный руководитель Канцзе Лу, доцент кафедры компьютерных наук и инженерии UMN, заявили из Консультативного комитета.считал, что все патчи с намеренными ошибками были исправлены или проигнорированы, разработчиками ядра Linux и сопровождающими. Был сделан вывод, что проекты обзора работали хорошо.
В самом деле, запрет Университета Миннесоты не может быть постоянным. Заведению подвластно все:
… Назначьте группу опытных штатных разработчиков для проверки и предоставления отзывов о предлагаемых изменениях ядра до того, как эти изменения будут опубликованы. Это исправление выявляет очевидные ошибки и избавляет сообщество от необходимости постоянно напоминать разработчикам о некоторых элементарных методах, таких как соблюдение стандартов кодирования и обширное тестирование исправлений. Это приводит к более качественному потоку исправлений, который вызовет меньше проблем в сообществе ядра.
Преступление не окупается
Исследователи не получат никакой пользы от результатов своего расследования. Документ, который они представили на симпозиуме по безопасности, был принят. Но, полагаю, под давлением сообщества его отозвали сами авторы, которые утверждали:
Прежде всего, мы совершили ошибку, не приняв участие в сотрудничестве с сообществом ядра Linux до проведения нашего исследования. Теперь мы понимаем, что для сообщества было неуместным и обидным делать это предметом нашего исследования и тратить свои усилия на просмотр этих исправлений без их ведома или разрешения. Вместо этого теперь мы понимаем, что правильный способ выполнения такой работы - это заранее взаимодействовать с лидерами сообщества, чтобы они знали о работе, одобряли ее цели и методы и могли поддерживать методы и результаты, когда работа будет завершена. завершено и опубликовано. Поэтому мы изымаем документ, чтобы не получить выгоду от неправильно проведенного исследования.
Во-вторых, учитывая недостатки наших методов, мы не хотим, чтобы эта работа служила образцом того, как можно проводить исследования в этом сообществе. Скорее, мы надеемся, что этот эпизод станет обучающим моментом для нашего сообщества и что полученные в результате обсуждения и рекомендации могут послужить руководством для надлежащего расследования в будущем.
Также не кажется, что проводить исследования - это хорошо. Университет Миннесоты, пытаясь ответить на запрос Linux Foundation о предоставлении отчетов,n обнаружил, что процесс создания патча не очень хорошо документирован.
Если бы у меня был ребенок, я бы не отправил его учиться в UM