University of Minnesota team forklarede motivationen til at eksperimentere med Linux-kernen

En gruppe forskere fra University of Minnesota, hvis accept af ændringer for nylig blev blokeret af Greg Kroah-Hartman, indsendt et åbent undskyldningsbrev og forklarer årsagerne til deres aktiviteter.

Blokeringen skyldtes gruppen undersøgte svagheder når du gennemgår indgående programrettelsers og evaluere muligheden for at gå til kernen i ændringerne med skjulte sårbarheder. Efter at have modtaget en tvivlsom patch fra et af gruppemedlemmerne med en meningsløs løsning, blev det antaget, at forskere igen forsøger at eksperimentere med kerneudviklere.

Da sådanne eksperimenter potentielt udgør en sikkerhedsrisiko og tager tid for forpligtelser, blev det besluttet at blokere accept af ændringer og indsende alle tidligere accepterede programrettelser til gennemgang.

I dit åbne brev, gruppemedlemmer sagde, at deres aktiviteter var motiverede udelukkende af gode intentioner og et ønske om at forbedre gennemgangsprocessen af ændringer, der identificerer og eliminerer svagheder.

Gruppen har studeret de processer, der fører til fremkomsten af ​​sårbarheder i mange år, og arbejder aktivt på at identificere og eliminere sårbarheder i Linux-kernen. De 190 programrettelser, der er sendt til en ny gennemgang, siges at være legitime, løse eksisterende problemer og indeholder ingen bevidste fejl eller skjulte sårbarheder.

Den alarmerende forskning for at fremme skjulte sårbarheder fandt sted i august sidste år og begrænsede sig til at sende tre fejlrettelser, hvoraf ingen kom til kernekodebasen.

Aktivitet relateret til disse programrettelser var kun begrænset til diskussion, og promovering af patch blev stoppet på et tidspunkt, før ændringerne blev tilføjet til Git.

Koden til de tre problematiske programrettelser er endnu ikke tilvejebragt, da dette vil afsløre ansigterne hos dem, der foretog den indledende gennemgang (oplysningerne afsløres efter indhentelse af samtykke fra udviklerne, der ikke anerkendte fejlene).

Hovedkilden til forskning var ikke vores egne patches, men analysen af ​​andres patches, der engang blev føjet til kernen på grund af sårbarheder, der efterfølgende kom frem. University of Minnesota team har intet at gøre med at tilføje disse programrettelser.

I alt 138 fejlrettede problemrettelser blev undersøgt, og da undersøgelsesresultaterne blev offentliggjort, var alle relaterede fejl blevet rettet, selv med involvering af forskergruppen.

Forskerne de fortryder at have brugt en upassende metode til at udføre eksperimentet. Fejlen var, at undersøgelsen blev udført uden tilladelse og uden at underrette samfundet. Årsagen til den skjulte aktivitet var ønsket om at opnå renheden af ​​eksperimentet, da meddelelsen kunne henlede opmærksomheden særligt på patches og deres evaluering, ikke på en generel måde.

Si bien målet var at forbedre grundlæggende sikkerhed, Forskere indså nu, at det var forkert og uetisk at bruge samfundet som et marsvin. Samtidig forsikrer forskerne, at de aldrig bevidst ville skade samfundet og ikke ville tillade indførelse af nye sårbarheder i den fungerende kernekode.

Med hensyn til det meningsløse plaster, der fungerede som en katalysator for nedbruddet, er det ikke relateret til tidligere forskning og er relateret til et nyt projekt, der har til formål at skabe værktøjer til automatisk detektion af bugs, der vises som et resultat af tilføjelse af andre patches.

Gruppen forsøger nu at finde måder at komme tilbage i udvikling og har til hensigt at skabe sit forhold til Linux Foundation og udviklerfællesskabet, hvilket beviser sin værdi i at forbedre kernesikkerheden og udtrykke et ønske om at arbejde hårdere til det bedre. Fælles og genvinde tilliden .

Greg Kroah-Hartman svarede det det tekniske råd for Linux Foundation sendte et brev til University of Minnesota fredag beskriver de specifikke handlinger, der skal træffes for at genoprette tilliden til gruppen. Indtil disse handlinger er afsluttet, er der intet at diskutere endnu.

kilde: https://l25kml.org


2 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   McA sagde han

    Lyder for mig som:
    Kom nu, vi ved, du har fanget os. Men fanden har det været lyst! Kan du lade os lægge yderligere 20 pletter, som vi havde forberedt? "

    Disse mennesker har mange hoveder.

  2.   Gregory ros sagde han

    Politisk korrekt undskyldning, men ... sniger sig ikke længere.