Eine Gruppe von Forschern der University of Minnesota, dessen Akzeptanz von Änderungen kürzlich von Greg Kroah-Hartman blockiert wurde, hat einen offenen Entschuldigungsbrief gepostet und erklärt die Gründe für ihre Aktivitäten.
Die Blockade war auf zurückzuführen Die Gruppe untersuchte Schwächen beim Überprüfen eingehender Patchess und bewerten Sie die Möglichkeit, mit versteckten Schwachstellen zum Kern der Änderungen zu gelangen. Nachdem eines der Gruppenmitglieder einen fragwürdigen Patch mit einem unsinnigen Fix erhalten hatte, wurde angenommen, dass die Forscher erneut versuchen, mit Kernel-Entwicklern zu experimentieren.
Da solche Experimente möglicherweise ein Sicherheitsrisiko darstellen und für die Committer Zeit in Anspruch nehmen, wurde beschlossen, die Akzeptanz von Änderungen zu blockieren und alle zuvor akzeptierten Patches zur Überprüfung einzureichen.
In Ihrem offenen Brief Gruppenmitglieder gaben an, dass ihre Aktivitäten motiviert waren ausschließlich aus guten Absichten und dem Wunsch, den Überprüfungsprozess zu verbessern von Änderungen, die Schwachstellen identifizieren und beseitigen.
Die Gruppe untersucht seit vielen Jahren die Prozesse, die zur Entstehung von Schwachstellen führen, und arbeitet aktiv daran, Schwachstellen im Linux-Kernel zu identifizieren und zu beseitigen. Die 190 Patches, die für eine neue Überprüfung eingereicht wurden, gelten als legitim, beheben vorhandene Probleme und enthalten keine absichtlichen Fehler oder versteckten Schwachstellen.
Die alarmierende Untersuchung zur Förderung versteckter Sicherheitslücken wurde im August letzten Jahres durchgeführt und beschränkte sich auf die Übermittlung von drei Fehler-Patches, von denen keiner in die Kernel-Codebasis gelangte.
Die Aktivitäten im Zusammenhang mit diesen Patches beschränkten sich nur auf Diskussionen, und die Patch-Promotion wurde zu einem bestimmten Zeitpunkt gestoppt, bevor die Änderungen zu Git hinzugefügt wurden.
Der Code für die drei problematischen Patches muss noch bereitgestellt werden, da dies die Gesichter derjenigen enthüllt, die die erste Überprüfung durchgeführt haben (die Informationen werden nach Einholung der Zustimmung der Entwickler angezeigt, die die Fehler nicht erkannt haben).
Die Hauptforschungsquelle waren nicht unsere eigenen Patches, sondern die Analyse der Patches anderer Personen, die aufgrund später auftretender Sicherheitslücken einmal zum Kernel hinzugefügt wurden. Das Team der University of Minnesota hat nichts mit dem Hinzufügen dieser Patches zu tun.
Insgesamt wurden 138 Fehlerbehebungs-Problem-Patches untersucht, und zum Zeitpunkt der Veröffentlichung der Studienergebnisse waren alle damit verbundenen Fehler behoben, auch unter Einbeziehung des Forschungsteams.
Los investigadores Sie bedauern, eine unangemessene Methode zur Durchführung des Experiments angewendet zu haben. Der Fehler war, dass die Untersuchung ohne Erlaubnis und ohne Benachrichtigung der Gemeinde durchgeführt wurde. Der Grund für die versteckte Aktivität war der Wunsch, die Reinheit des Experiments zu erreichen, da die Benachrichtigung nicht allgemein auf die Patches und deren Bewertung aufmerksam machen konnte.
Während das Ziel war es, die grundlegende Sicherheit zu verbessern, Die Forscher erkannten nun, dass es falsch und unethisch war, die Gemeinschaft als Versuchskaninchen zu benutzen. Gleichzeitig versichern die Forscher, dass sie der Community niemals absichtlich Schaden zufügen und die Einführung neuer Schwachstellen in den funktionierenden Kernel-Code nicht zulassen würden.
Der unsinnige Patch, der als Katalysator für den Absturz diente, hat nichts mit früheren Forschungen zu tun und steht im Zusammenhang mit einem neuen Projekt, das darauf abzielt, Tools zur automatischen Erkennung von Fehlern zu erstellen, die durch das Hinzufügen anderer Patches auftreten.
Die Gruppe versucht nun, Wege zu finden, um wieder in die Entwicklung einzusteigen, und beabsichtigt, ihre Beziehung zur Linux Foundation und zur Entwicklergemeinschaft aufzubauen, um ihren Wert bei der Verbesserung der Kernelsicherheit zu beweisen und den Wunsch zum Ausdruck zu bringen, härter zum Besseren zu arbeiten .
Greg Kroah-Hartman antwortete darauf der technische Rat der Die Linux Foundation hat einen Brief gesendet an der University of Minnesota am Freitag Beschreiben der spezifischen Maßnahmen zur Wiederherstellung des Vertrauens in die Gruppe. Bis diese Aktionen abgeschlossen sind, gibt es noch nichts zu besprechen.
Quelle: https://l25kml.org
Klingt für mich wie:
Komm schon, wir wissen, dass du uns erwischt hast. Aber verdammt, es hat gefehlt! Können Sie uns weitere 20 Patches hinzufügen lassen, die wir vorbereitet hatten? "
Diese Leute haben viele Köpfe.
Politisch korrekte Entschuldigung, aber ... schleicht nicht mehr.