Grupa istraživača sa Univerziteta u Minnesoti, čije je prihvaćanje promjena nedavno blokirao Greg Kroah-Hartman, objavio otvoreno pismo izvinjenja i objašnjava razloge njihovih aktivnosti.
Do blokade je došlo grupa je istraživala slabosti prilikom pregleda dolaznih zakrpai procijeniti mogućnost da se sa skrivenim ranjivostima pređe na srž promjena. Nakon primanja sumnjive zakrpe od jednog od članova grupe s besmislenim rješenjem, pretpostavljalo se da istraživači ponovno pokušavaju eksperimentirati s programerima jezgra.
Budući da takvi eksperimenti potencijalno predstavljaju sigurnosni rizik i oduzimaju vrijeme počiniteljima, odlučeno je da se blokira prihvatanje promjena i sve prethodno prihvaćene zakrpe podnesu na pregled.
U vašem otvorenom pismu, članovi grupe su izjavili da su njihove aktivnosti motivisane isključivo iz dobre namjere i želje da se poboljša postupak revizije promena koje identifikuju i eliminišu slabosti.
Grupa već duži niz godina proučava procese koji dovode do pojave ranjivosti i aktivno radi na identificiranju i uklanjanju ranjivosti u Linux jezgri. Za 190 zakrpa poslanih na novi pregled kaže se da su legitimni, popravljaju postojeće probleme i ne sadrže namjerne greške ili skrivene ranjivosti.
Alarmantno istraživanje za promociju skrivenih ranjivosti provedeno je u kolovozu prošle godine i ograničilo se na podnošenje tri zakrpe grešaka, od kojih nijedna nije došla do baze jezgra koda.
Aktivnost vezana za ove zakrpe bila je ograničena samo na raspravu, a promocija zakrpe zaustavljena je u jednoj fazi prije nego što su promjene dodane u Git.
Kôd za tri problematična zakrpe tek treba dostaviti, jer će ovo otkriti lica onih koji su obavili početni pregled (informacije će se otkriti nakon dobivanja pristanka programera koji nisu priznali greške).
Glavni izvor istraživanja nisu bili naše vlastite zakrpe, već analiza zakrpa drugih ljudi koje su jednom dodavane u jezgru, zbog ranjivosti koje su se kasnije pojavile. Tim Univerziteta u Minnesoti nema nikakve veze s dodavanjem ovih zakrpa.
Ukupno je proučeno 138 zakrpa problema koje daju probleme, a kada su objavljeni rezultati studije, sve povezane greške su ispravljene, čak i uz uključivanje istraživačkog tima.
Istraživači žale što su koristili neprimjerenu metodu za provođenje eksperimenta. Pogreška je bila što je istraga izvršena bez odobrenja i bez obavještavanja zajednice. Razlog skrivene aktivnosti bila je želja da se postigne čistoća eksperimenta, jer je obavijest mogla odvojeno skrenuti pažnju na zakrpe i njihovu ocjenu, a ne na općenit način.
Dok cilj je bio poboljšati osnovnu sigurnost, Istraživači su sada shvatili da je korištenje zajednice kao zamorca bilo pogrešno i neetično. Istodobno, istraživači uvjeravaju da nikada ne bi namjerno naštetili zajednici i ne bi dopustili uvođenje novih ranjivosti u radni kod jezgra.
Što se tiče besmislene zakrpe koja je poslužila kao katalizator pada, ona nije povezana s prethodnim istraživanjima i povezana je s novim projektom čiji je cilj stvaranje alata za automatsko otkrivanje grešaka koje se pojavljuju kao rezultat dodavanja drugih zakrpa.
Grupa sada pokušava pronaći načine da se vrati u razvoj i namjerava uspostaviti svoj odnos s Linux Foundation i zajednicom programera, dokazujući svoju vrijednost u poboljšanju sigurnosti kernela i izražavajući želju da radi više na bolje. .
Greg Kroah-Hartman je na to odgovorio tehničko vijeće Linux Foundation poslao je pismo na Univerzitet u Minnesoti u petak opisujući konkretne radnje koje treba preduzeti kako bi se vratilo povjerenje u grupu. Dok se ove radnje ne dovrše, još se nema o čemu razgovarati.
Izvor: https://l25kml.org
Zvuči mi kao:
Hajde, znamo da ste nas uhvatili. Ali dovraga je to bilo potrebno! Možete li nam dopustiti da stavimo još 20 zakrpa koje smo pripremili? »
Ti ljudi imaju puno glava.
Politički korektan izgovor, ali ... više se ne šulja.