Skupina vědců z University of Minnesota, jehož přijetí změn nedávno zablokoval Greg Kroah-Hartman, zveřejnil otevřený omluvný dopis a vysvětluje důvody jejich činnosti.
Blokování bylo způsobeno skupina vyšetřovala slabosti při kontrole příchozích opravs a posoudit možnost přechodu k jádru změn se skrytými zranitelnostmi. Po obdržení pochybné opravy od jednoho z členů skupiny s nesmyslným řešením se předpokládalo, že vědci se znovu pokoušejí experimentovat s vývojáři jádra.
Vzhledem k tomu, že takové experimenty potenciálně představují bezpečnostní riziko a pro zadavatele nějakou dobu trvají, bylo rozhodnuto zablokovat přijetí změn a odeslat všechny dříve přijaté opravy ke kontrole.
Ve svém otevřeném dopise členové skupiny uvedli, že jejich aktivity byly motivovány výhradně z dobrých úmyslů a snahy zlepšit proces kontroly změn identifikujících a eliminujících slabiny.
Skupina již mnoho let studuje procesy, které vedou ke vzniku zranitelností, a aktivně pracuje na identifikaci a eliminaci zranitelností v jádře Linuxu. O 190 opravách odeslaných k nové kontrole se říká, že jsou legitimní, opravují stávající problémy a neobsahují žádné úmyslné chyby ani skryté chyby zabezpečení.
Výstražný výzkum na podporu skrytých zranitelností proběhl v srpnu loňského roku a omezil se na zaslání tří oprav chyb, z nichž žádná se nedostala do základny kódu jádra.
Aktivita související s těmito opravami byla omezena pouze na diskusi a propagace oprav byla zastavena v jedné fázi před přidáním změn do Gitu.
Je ještě třeba poskytnout kód pro tři problematické opravy, protože odhalí tváře těch, kteří provedli počáteční kontrolu (informace budou odhaleny po získání souhlasu vývojářů, kteří chyby neuznali).
Hlavním zdrojem výzkumu nebyly naše vlastní opravy, ale analýza oprav jiných lidí, které byly kdysi přidány do jádra kvůli následným zranitelnostem. Tým University of Minnesota nemá s přidáváním těchto oprav nic společného.
Celkem bylo studováno 138 opravných chyb, které způsobovaly chyby, a po zveřejnění výsledků studie byly všechny související chyby opraveny, a to i za účasti výzkumného týmu.
Los investigadores litují, že k provedení experimentu použili nevhodnou metodu. Chybou bylo, že vyšetřování proběhlo bez svolení a bez oznámení komunitě. Důvodem skryté aktivity byla touha dosáhnout čistoty experimentu, protože oznámení mohlo upozornit zvlášť na patche a jejich vyhodnocení, nikoli obecně.
Si bien cílem bylo zlepšit základní zabezpečení, Vědci si nyní uvědomili, že používání komunity jako morče bylo špatné a neetické. Vědci zároveň zaručují, že by nikdy úmyslně nepoškodili komunitu a nedovolili zavedení nových zranitelností do kódu pracovního jádra.
Pokud jde o nesmyslnou opravu, která sloužila jako katalyzátor havárie, nesouvisí s předchozím výzkumem a souvisí s novým projektem zaměřeným na vytváření nástrojů pro automatickou detekci chyb, které se objevují v důsledku přidání dalších oprav.
Skupina se nyní pokouší najít způsoby, jak se vrátit do vývoje, a hodlá navázat svůj vztah s Linux Foundation a komunitou vývojářů, prokázat svou hodnotu při zlepšování zabezpečení jádra a vyjádřit touhu usilovněji pracovat na tom lepším. .
Greg Kroah-Hartman na to odpověděl technická rada Linux Foundation poslal dopis v pátek na University of Minnesota popis konkrétních akcí, které je třeba podniknout k obnovení důvěry ve skupinu. Dokud nebudou tyto akce dokončeny, není ještě o čem diskutovat.
zdroj: https://l25kml.org
Zní to jako:
No tak, víme, že jsi nás chytil. Ale sakra to chtělo! Můžete nám dát dalších 20 oprav, které jsme připravili? “
Tito lidé mají spoustu hlav.
Politicky správná omluva, ale ... už se neplíží.