A squadra di l'Università di Minnesota hà spiegatu a motivazione per sperimentà cù u kernel Linux

Un gruppu di ricercatori di l'Università di Minnesota, chì l'accettazione di i cambiamenti hè stata recentemente bluccata da Greg Kroah-Hartman, hà publicatu una lettera aperta di scuse è spiega i motivi di e so attività.

U bloccu era dovutu à u gruppu studiava i punti debuli quandu si rivede i patch entrantis è valutà a pussibilità di andà à u core di i cambiamenti cù vulnerabilità nascoste. Dopu avè ricevutu un patch dubbiosu da unu di i membri di u gruppu cù una suluzione insensata, hè statu presuppostu chì i circadori pruvanu torna à sperimentà cù sviluppatori di kernel.

Siccomu tali esperimenti ponu in periculu un risicu di sicurezza è piglianu u tempu per i committers, hè statu decisu di bluccà l'accettazione di i cambiamenti è sottumette tutte e patch accettate in precedenza per a revisione.

In a vostra lettera aperta, i membri di u gruppu anu dichjaratu chì e so attività eranu motivate solu per bona intenzione è un desideriu di migliorà u prucessu di revisione di cambiamenti identificendu è eliminendu i punti debuli.

U gruppu studia i prucessi chì portanu à l'emergenza di vulnerabilità da parechji anni è travaglia attivamente per identificà è eliminà e vulnerabilità in u kernel Linux. Si dice chì i 190 patch sottumessi per una nova rivisione sò legittimi, risolvenu i prublemi esistenti, è ùn cuntenenu micca bug deliberati o vulnerabilità nascoste.

A ricerca alarmante per prumove vulnerabilità nascoste hè stata effettuata in Aostu di l'annu scorsu è si hè limitata à presentà trè patch di bug, chì nimu ùn l'anu fatta à a basa di codice di u kernel.

L'attività ligata à questi patch era limitata à a discussione solu, è a prumuzione di patch era fermata in un stadiu prima chì i cambiamenti eranu aghjunti à Git.

U codice per i trè patch problematichi ùn hè ancu statu furnitu, postu chì svelerà e facce di quelli chì anu fattu a revisione iniziale (l'infurmazioni seranu rivelate dopu avè ottenutu l'accunsentu di i sviluppatori chì ùn anu micca ricunnisciutu i bug).

A fonte principale di ricerca ùn era micca i nostri patch, ma l'analisi di i patch di altre persone chì sò stati una volta aghjunti à u kernel, per via di vulnerabilità emergenti successivamente. A squadra di l'Università di Minnesota ùn hà nunda à chì vede cù l'aggiunta di questi patch.

Un totale di 138 patch di prublemi chì danu bug sò stati studiati, è quandu i risultati di u studiu sò stati publicati, tutti i bug cunnessi eranu stati riparati, ancu cù a participazione di a squadra di ricerca.

I riccheursi si pentenu d'avè adupratu un metudu inappropriatu per fà l'esperimentu. L'errore hè statu chì l'inchiesta hè stata fatta senza permessu è senza avvisà a cumunità. U mutivu di l'attività nascosta era u desideriu di uttene a purezza di l'esperimentu, postu chì a notificazione puderia attirà l'attenzione separatamente nantu à i patch è a so valutazione, micca in modu generale.

Mentre era u scopu era di migliurà a sicurità di basa, I ricercatori anu capitu chì aduprà a cumunità cum'è cobaia era sbagliatu è micca eticu. In listessu tempu, i circadori assicuranu chì ùn anu mai intenzionalmente dannu à a cumunità è ùn permettenu micca l'introduzione di nuove vulnerabilità in u codice di u kernel di travagliu.

In quantu à u patch senza sensu chì hà servutu da catalizatore per u crash, ùn hè micca in leia cù e ricerche precedenti è hè legatu à un novu prughjettu destinatu à creà strumenti per a rilevazione automatizata di bug chì apparisce à causa di l'aggiunta di altri patch.

U gruppu prova avà à truvà modi per ritruvassi in u sviluppu è intende furmà a so rilazione cù a Fundazione Linux è a cumunità di sviluppatori, dimustrendu u so valore per migliurà a sicurità di u kernel è esprimendu u desideriu di travaglià più duru per u megliu. Cumunu è ripiglià fiducia .

Greg Kroah-Hartman hà rispostu chì u cunsigliu tecnicu di u Linux Foundation hà mandatu una lettera à l'Università di Minnesota u venneri descrivendu l'azzioni specifiche da fà per ripristinà a fiducia in u gruppu. Finu chì ste azzioni ùn sianu compie, ùn ci hè ancu nunda da discute.

source: https://l25kml.org


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

2 cumenti, lasciate i toi

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

  1.   McA dijo

    Mi pare cusì:
    Aiò, sapemu chì ci avete chjappu. Ma dannatu hè statu vulendu! Pudete permette di mette in 20 altri patch chì aviamu preparatu? "

    Queste persone anu assai capi.

  2.   Grigoriu ros dijo

    Scusa puliticamente curretta, ma ... ùn si snoda più.