Birkaç gün önce biliniyordu ki Minnesota Üniversitesi'nin iki üyesi, Linux çekirdeğini kasıtlı olarak güvenlik problemleriyle yamalıyordu Bu, ne Linus Torvalds'ın ne de Linux Vakfı'nın onaylamadığı bir araştırma projesinin parçasıydı. Kararlı dal için Linux çekirdeğini korumaktan sorumlu prestijli geliştirici Greg Kroah-Hartman, ne yaptıklarını öğrendiğinde, sadece onları değil, UMN ile bağlantılı herhangi bir geliştiricinin de katkıda bulunmaya devam etmesini yasaklayarak tepki gösterdi.
Hemen, ana geliştiricilerden oluşan Linux Vakfı Danışma Konseyi, sorumlulukları kanıtlanmış diğer gönüllü işbirlikçilerle birlikteve hasarı değerlendirmeye başladılar. Y zaten iletişim kurdular sonuç.
Uyuşmazlık yamaları
Üniversite üyelerinin yaptığı toplam 435 katkıdan büyük çoğunluk iyiydi Geri kalan 39'unda hatalar vardı ve düzeltilmesi gerekiyordu; 25'i zaten düzeltilmişti, 12'si zaten eski idi; 9 araştırma grubu var olmadan önce yapıldı ve biri yazarının isteği üzerine elendi.
Kötü niyetli katkılardan sorumlu olanlar iki sahte kimlik kullandılars, Linux çekirdeğine kod katkıda bulunmak için belgelenmiş gereksinimlere aykırıdır. Üniversite, sunulan işle ilgili yasal bir beyan olan 'Geliştirici Menşe Belgesi'ni sorgusuz sualsiz kabul ettiğinden, kurumsal işbirliği olmadan bu yapılamazdı.
Failler, araştırmacılar, Qiushi Wu ve Aditya Pakki ve onların lisansüstü danışmanları, UMN'de Bilgisayar Bilimi ve Mühendisliği Bölümü'nde yardımcı doçent olan Kangjie Lu, Danışma Kurulu'nun belirttiği gibi,kasıtlı olarak hatalı yama gönderimlerinin düzeltildiğini veya göz ardı edildiğini savundu, Linux çekirdek geliştiricileri ve bakımcıları tarafından. Sonuç, inceleme projelerinin iyi sonuç verdiğiydi.
Aslında, Minnesota Üniversitesi üzerindeki yasak kalıcı olmayabilir. Her şey kuruma tabidir:
… Bu değişiklikler kamuya açıklanmadan önce önerilen çekirdek değişikliklerini incelemek ve bunlar hakkında geri bildirim sağlamak için deneyimli şirket içi geliştiricilerden oluşan bir havuz belirleyin. Bu düzeltme, bariz hataları yakalayacak ve topluluğu geliştiricilere, kodlama standartlarına bağlılık ve kapsamlı yama testi gibi bazı temel uygulamaları tekrar tekrar anımsatma ihtiyacından kurtaracaktır. Bu, çekirdek topluluğunda daha az sorunla karşılaşacak daha yüksek kaliteli bir yama akışı ile sonuçlanır.
Suç ödemez
Araştırmacılar, araştırmalarının sonuçlarından yararlanamayacaklar. Güvenlik sempozyumunda sundukları bildiri kabul edildi. Ancak, toplumun baskısı altında, yazarların kendileri tarafından geri çekildiğini sanıyorum:
Öncelikle, çalışmamızı yürütmeden önce Linux çekirdek topluluğu ile işbirliği yapmayarak bir hata yaptık. Topluluğun bunu araştırmamızın bir konusu haline getirmesinin ve onların bilgisi veya izni olmadan bu yamaları gözden geçirmek için çabalarını boşa harcamasının artık uygunsuz ve incitici olduğunu anlıyoruz. Bunun yerine, bu tür bir işi yapmanın doğru yolunun, topluluk liderleriyle önceden iletişime geçmek olduğunu, böylece işin farkında olmaları, hedeflerini ve yöntemlerini onaylamaları ve çalışma tamamlandığında yöntemleri ve sonuçları destekleyebilmeleri olduğunu şimdi anlıyoruz. tamamlandı ve yayınlandı. Bu nedenle yanlış yapılan bir çalışmadan faydalanmamak için belgeyi geri çekiyoruz.
İkincisi, yöntemlerimizdeki kusurlar göz önüne alındığında, bu çalışmanın bu toplulukta nasıl araştırma yapılabileceğine dair bir model olarak kalmasını istemiyoruz. Bunun yerine, bu bölümün topluluğumuz için bir öğrenme anı olacağını ve ortaya çıkan tartışma ve önerilerin gelecekte uygun bir araştırma için bir rehber görevi görebileceğini umuyoruz.
Araştırma yapmak da çok iyi görünmüyor. Minnesota Üniversitesi, Linux Vakfı'nın rapor talebine yanıt vermeye çalışırken,Yama gönderimi oluşturma sürecinin çok iyi belgelenmediğini fark ettim.
Bir çocuğum olsaydı, onu UM'de okumaya göndermezdim