Un grup d'investigadors de la Universitat de Minnesota, l'acceptació de canvis del qual va ser bloquejada recentment per Greg Kroah-Hartman, va publicar una carta oberta de disculpa i explica els motius de les activitats.
El bloqueig va ser perquè el grup estava investigant debilitats en revisar els pegats entranti avaluar la possibilitat de passar al nucli dels canvis amb vulnerabilitats ocultes. Després de rebre un pegat qüestionable d'un dels membres del grup amb una solució sense sentit, es va assumir que els investigadors tornen a intentar experimentar amb els desenvolupadors del nucli.
Atès que aquests experiments presenten potencialment un risc de seguretat i prenen temps per als confirmadors, es va decidir bloquejar l'acceptació de canvis i enviar tots els pegats prèviament acceptats per revisar-los.
A la seva carta oberta, els membres del grup van manifestar que les seves activitats estaven motivades exclusivament per les bones intencions i el desig de millorar el procés de revisió de canvis identificant i eliminant debilitats.
El grup ha estat estudiant els processos que condueixen a l'aparició de vulnerabilitats durant molts anys i està treballant activament per identificar i eliminar vulnerabilitats al nucli de Linux. Es diu que els 190 pegats enviats per a una nova revisió són legítims, solucionen problemes existents i no contenen errors deliberats ni vulnerabilitats ocultes.
L'alarmant investigació per promoure vulnerabilitats ocultes es va dur a terme l'agost de l'any passat i es va limitar a enviar tres pegats d'errors, cap dels quals va arribar al codi base del nucli.
L'activitat relacionada amb aquests pegats es va limitar només a la discussió i la promoció de pegats es va aturar en una etapa abans que s'agreguessin els canvis a Git.
El codi per als tres pegats problemàtics encara no s'ha proporcionat, ja que això revelarà les cares dels que van fer la revisió inicial (la informació es revelarà després d'obtenir el consentiment dels desenvolupadors que no van reconèixer els errors).
La principal font de recerca no van ser els nostres propis pegats, sinó l'anàlisi dels pegats d'altres persones que alguna vegada es van afegir al nucli, perquè posteriorment van sorgir vulnerabilitats. L'equip de la Universitat de Minnesota no té res a veure amb afegir aquests pegats.
Es van estudiar un total de 138 pegats problemàtics que van donar lloc a errors i, quan es van publicar els resultats de l'estudi, tots els errors relacionats s'havien solucionat, fins i tot amb la participació de l'equip de recerca.
Els Investigadors lamenten haver utilitzat un mètode inadequat per fer l'experiment. L'error va ser que la investigació es va fer sense permís i sense notificar a la comunitat. El motiu de l'activitat oculta va ser el desig d'aconseguir la puresa de l'experiment, ja que la notificació podria cridar l'atenció separadament sobre els pegats i la seva avaluació, no de manera general.
Si bé l'objectiu era millorar la seguretat bàsica, els investigadors ara es van adonar que fer servir la comunitat com a conillet d'índies era incorrecte i poc ètic. Alhora, els investigadors asseguren que mai danyarien intencionalment la comunitat i no permetrien la introducció de noves vulnerabilitats en el codi de treball del nucli.
Pel que fa al pegat sense sentit que va servir com a catalitzador per al bloqueig, no està relacionat amb investigacions anteriors i està relacionat amb un nou projecte destinat a crear eines per a la detecció automatitzada d'errors que apareixen com a resultat d'afegir altres pegats.
El grup ara està tractant de trobar maneres de tornar al desenvolupament i té la intenció de forjar la seva relació amb la Fundació Linux i la comunitat de desenvolupadors, demostrant el seu valor per millorar la seguretat del nucli i expressant el desig de treballar més dur pel bé comú i recuperar la confiança.
Greg Kroah-Hartman va respondre que el consell tècnic de la Fundació Linux va enviar una carta a la Universitat de Minnesota divendres en què es descriuen les accions específiques que cal prendre per restaurar la confiança en el grup. Fins que es completin aquestes accions, no hi ha res a discutir encara.
font: https://l25kml.org
A mi em sona a:
«Vinga va, que sabem que ens heu enxampat. Però jolín que ha estat volent! ¿Ens deixeu ficar 20 pegats més que teníem preparats?»
Molta jeta té aquesta gent.
Escusa políticament correcta, però… ja no cola.