För några dagar sedan var det känt att två medlemmar av University of Minnesota hade medvetet lappat Linux-kärnan med säkerhetsproblem Detta var en del av ett forskningsprojekt som varken Linus Torvalds eller Linux Foundation hade godkänt. Så när han fick reda på vad de gjorde, Greg Kroah-Hartman, den prestigefyllda utvecklaren som ansvarar för att underhålla Linux-kärnan för den stabila grenen, reagerade genom att förbjuda inte bara dem, utan alla utvecklare anslutna till UMN, att fortsätta att bidra.
Omedelbart består Linux Foundation Advisory Council, som består av huvudutvecklarna, tillsammans med andra frivilliga medarbetare med bevisat ansvaroch de började bedöma skadan. och de kommunicerade redan resultatet.
Diskreta fläckar
Av totalt 435 bidrag från medlemmar av universitetet fann man att de allra flesta var bra Av resten hade 39 fel och behövde korrigeras; 25 hade redan rättats, 12 var redan föråldrade; 9 hade gjorts innan utredningsgruppen fanns och en eliminerades på begäran av dess författare.
De ansvariga för de skadliga bidragen använde två falska identiteters, vilket strider mot de dokumenterade kraven för att bidra med kod till Linux-kärnan. Detta kunde inte ha gjorts utan institutionellt samarbete eftersom universitetet utan tvekan accepterade 'Developer Certificate of Origin', ett juridiskt uttalande om det arbete som skickas in.
I motsats till vad förövarna, utredarna, Qiushi Wu och Aditya Pakki och deras doktorand, Kangjie Lu, biträdande professor vid Institutionen för datavetenskap och teknik vid UMN, uppgav från rådgivande kommitténshävdade att alla avsiktligt buggy patch inlämningar fixades eller ignorerades, av Linux-kärnutvecklare och underhållare. Slutsatsen var att granskningsprojekten fungerade bra.
I själva verket förbudet mot University of Minnesota kanske inte är permanent. Allt är föremål för institutionen:
... Utse en pool av erfarna interna utvecklare för att granska och ge feedback om föreslagna kärnändringar innan dessa ändringar släpps offentligt. Den här snabbkorrigeringen kommer att fånga uppenbara buggar och befria samhället från behovet av att upprepade gånger påminna utvecklare om några grundläggande metoder som att följa kodningsstandarder och omfattande patchtestning. Detta resulterar i en patchkvalitet av högre kvalitet som kommer att stöta på färre problem i kärngemenskapen.
Brott lönar sig inte
Forskare kommer inte att dra nytta av resultaten av sin undersökning. Papperet de presenterade vid ett säkerhetssymposium hade accepterats. Men jag antar att det under trycket från samhället drogs tillbaka av författarna själva som argumenterade:
Först och främst gjorde vi ett misstag genom att inte samarbeta med Linux-kärngemenskapen innan vi genomförde vår studie. Vi förstår nu att det var olämpligt och skadligt för samhället att göra det till ett ämne för vår forskning och att slösa bort deras ansträngningar att granska dessa korrigeringar utan deras vetskap eller tillstånd. Istället inser vi nu att det rätta sättet att göra den här typen av arbete är att samarbeta med samhällsledare i förväg så att de är medvetna om arbetet, godkänner dess mål och metoder och kan stödja metoderna och resultaten när arbetet är slutförd och publicerad. Därför drar vi tillbaka dokumentet så att vi inte drar nytta av en felaktigt genomförd studie.
För det andra, med tanke på bristerna i våra metoder, vill vi inte att detta arbete ska förbli en modell för hur forskning kan göras i denna gemenskap. Vi hoppas snarare att det här avsnittet kommer att bli ett lärande ögonblick för vårt samhälle, och att den resulterande diskussionen och rekommendationerna kan fungera som en vägledning för korrekt utredning i framtiden.
Det verkar inte heller att det är mycket bra att forska. University of Minnesota försökte svara på Linux Foundation: s begäran om rapporter,n fann att processen för att skapa patch inte var särskilt väl dokumenterad.
Om jag hade ett barn skulle jag inte skicka honom för att studera vid UM