Екипът на университета в Минесота обясни мотивацията за експериментиране с ядрото на Linux

Група изследователи от университета в Минесота, чието приемане на промени наскоро беше блокирано от Грег Кроах-Хартман, публикува отворено писмо с извинение и обяснява причините за техните дейности.

Запушването се дължи на групата разследва слабости при преглед на входящи кръпкии да се оцени възможността да се премине към същността на промените със скрити уязвимости. След получаване на съмнителна корекция от един от членовете на групата с безсмислено решение, се предполагаше, че изследователите отново се опитват да експериментират с разработчиците на ядрото.

Тъй като подобни експерименти потенциално представляват риск за сигурността и отнемат време на ангажиращите, беше решено да се блокира приемането на промените и да се изпратят всички предварително приети корекции за преглед.

В вашето отворено писмо, членовете на групата заявиха, че техните дейности са мотивирани изключително за добри намерения и желание за подобряване на процеса на преглед на промени, идентифициращи и отстраняващи слабостите.

Групата изучава процесите, които водят до появата на уязвимости в продължение на много години и работи активно за идентифициране и отстраняване на уязвимости в ядрото на Linux. 190-те корекции, изпратени за нов преглед, се считат за легитимни, решават съществуващи проблеми и не съдържат умишлени грешки или скрити уязвимости.

Тревожното проучване за насърчаване на скрити уязвимости се проведе през август миналата година и се ограничи до доставянето на три корекции на грешки, нито един от които не стигна до кодовата база на ядрото.

Дейността, свързана с тези кръпки, беше ограничена само до дискусия и популяризирането на кръпка беше спряно на един етап, преди промените да бъдат добавени към Git.

Кодът за трите проблемни кръпки все още не е предоставен, тъй като това ще разкрие лицата на онези, които са направили първоначалния преглед (информацията ще бъде разкрита след получаване на съгласието на разработчиците, които не са признали грешките).

Основният източник на изследвания не бяха нашите собствени кръпки, а анализът на чужди кръпки, които веднъж бяха добавени към ядрото, поради възникналите впоследствие уязвимости. Екипът на Университета в Минесота няма нищо общо с добавянето на тези кръпки.

Бяха проучени общо 138 корекции на проблемни грешки и когато резултатите от проучването бяха публикувани, всички свързани грешки бяха отстранени, дори с участието на изследователския екип.

Изследователите те съжаляват, че са използвали неподходящ метод за провеждане на експеримента. Грешката беше, че разследването беше проведено без разрешение и без уведомяване на общността. Причината за скритата активност беше желанието да се постигне чистотата на експеримента, тъй като уведомлението можеше да привлече вниманието отделно към лепенките и тяхната оценка, а не по общ начин.

Докато целта беше да се подобри основната сигурност, Сега изследователите осъзнаха, че използването на общността като морско свинче е грешно и неетично. В същото време изследователите уверяват, че никога няма да навредят умишлено на общността и няма да позволят въвеждането на нови уязвимости в работещия код на ядрото.

Що се отнася до безсмисления пластир, който служи като катализатор за катастрофата, той не е свързан с предишни изследвания и е свързан с нов проект, насочен към създаване на инструменти за автоматично откриване на грешки, които се появяват в резултат на добавяне на други кръпки.

Сега групата се опитва да намери начини да се върне в разработката и възнамерява да изгради връзката си с фондацията Linux и общността на разработчиците, доказвайки нейната стойност в подобряването на сигурността на ядрото и изразявайки желанието си да работи по-усилено за по-добро. .

Грег Кроах-Хартман отговори техническият съвет на Фондация Linux изпрати писмо в университета в Минесота в петък описване на конкретните действия, които трябва да бъдат предприети за възстановяване на доверието в групата. Докато тези действия не приключат, все още няма какво да се обсъжда.

Fuente: https://l25kml.org