O equipo da Universidade de Minnesota explicou a motivación para experimentar co núcleo Linux

Un grupo de investigadores da Universidade de Minnesota, cuxa aceptación dos cambios foi bloqueada recentemente por Greg Kroah-Hartman, publicou unha carta aberta de desculpas e explica os motivos das súas actividades.

Debido ao bloqueo o grupo investigaba os puntos débiles ao revisar os parches entrantess e avaliar a posibilidade de ir ao núcleo dos cambios con vulnerabilidades ocultas. Despois de recibir un parche discutible dun dos membros do grupo cunha solución sen sentido, supúxose que os investigadores volven intentar experimentar cos desenvolvedores do núcleo.

Dado que estes experimentos potencialmente supoñen un risco para a seguridade e levan tempo para os comprometidos, decidiuse bloquear a aceptación dos cambios e enviar todos os parches previamente aceptados para a súa revisión.

Na túa carta aberta, os membros do grupo declararon que as súas actividades estaban motivadas exclusivamente por boas intencións e ganas de mellorar o proceso de revisión de cambios identificando e eliminando as debilidades.

O grupo leva moitos anos estudando os procesos que levan á aparición de vulnerabilidades e traballa activamente para identificar e eliminar vulnerabilidades no núcleo de Linux. Dise que os 190 parches enviados para unha nova revisión son lexítimos, solucionan problemas existentes e non conteñen erros deliberados nin vulnerabilidades ocultas.

A alarmante investigación para promover vulnerabilidades ocultas levouse a cabo en agosto do ano pasado e limitouse a enviar tres parches de erros, ningún dos cales chegou á base de código do núcleo.

A actividade relacionada con estes parches limitouse só a discusión e a promoción de parches detívose nunha etapa antes de que os cambios se engadisen a Git.

Aínda non se proporcionou o código para os tres parches problemáticos, xa que revelará a cara dos que fixeron a revisión inicial (a información revelarase despois de obter o consentimento dos desenvolvedores que non recoñeceron os erros).

A principal fonte de investigación non foron os nosos propios parches, senón a análise dos parches doutras persoas que se engadiron no núcleo debido ás vulnerabilidades que xurdiron posteriormente. O equipo da Universidade de Minnesota non ten nada que ver coa adición destes parches.

Estudáronse un total de 138 parches de problemas que deron erros e, cando se publicaron os resultados do estudo, solucionáronse todos os erros relacionados, incluso coa participación do equipo de investigación.

Os investigadores lamentan ter empregado un método inadecuado para levar a cabo o experimento. O erro foi que a investigación levouse a cabo sen permiso e sen avisar á comunidade. O motivo da actividade oculta foi o desexo de acadar a pureza do experimento, xa que a notificación podería chamar a atención por separado sobre os parches e a súa avaliación, non de xeito xeral.

Caes o obxectivo era mellorar a seguridade básica, Os investigadores déronse conta agora de que o uso da comunidade como cobaia era incorrecto e pouco ético. Ao mesmo tempo, os investigadores aseguran que nunca farían dano intencionado á comunidade e non permitirían a introdución de novas vulnerabilidades no código do núcleo de traballo.

En canto ao parche sen sentido que serviu de catalizador do accidente, non ten relación con investigacións anteriores e está relacionado cun novo proxecto dirixido a crear ferramentas para a detección automática de erros que aparecen como resultado de engadir outros parches.

O grupo agora está intentando atopar formas de volver ao desenvolvemento e pretende forxar a súa relación coa Linux Foundation e a comunidade de desenvolvedores, demostrando o seu valor na mellora da seguridade do núcleo e expresando o desexo de traballar máis duro para mellor. Común e recuperar a confianza. .

Greg Kroah-Hartman respondeu iso o consello técnico da Linux Foundation enviou unha carta á Universidade de Minnesota o venres describindo as accións específicas a tomar para restablecer a confianza no grupo. Mentres non se completen estas accións, aínda non hai nada que discutir.

Fuente: https://l25kml.org


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

2 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   McA dixo

    Paréceme como:
    Veña, sabemos que nos pillaches. Pero carallo estivo a querer! Podes permitirnos poñer outros 20 parches que tiñamos preparados? "

    Esta xente ten moita cabeza.

  2.   Gregorio ros dixo

    Escusa politicamente correcta, pero ... xa non se cola.