Skupina istraživača sa Sveučilišta Minnesota, čije je prihvaćanje promjena nedavno blokirao Greg Kroah-Hartman, objavio otvoreno pismo s isprikom i objašnjava razloge njihovih aktivnosti.
Do blokade je došlo zbog skupina je istraživala slabosti prilikom pregledavanja dolaznih zakrpas i procijenite mogućnost odlaska u srž promjena sa skrivenim ranjivostima. Nakon primanja sumnjive zakrpe od jednog od članova grupe s besmislenim rješenjem, pretpostavljalo se da istraživači ponovno pokušavaju eksperimentirati s programerima jezgre.
Budući da takvi eksperimenti potencijalno predstavljaju sigurnosni rizik i zahtijevaju vrijeme za počinitelje, odlučeno je blokirati prihvaćanje promjena i sve prethodno prihvaćene zakrpe podnijeti na pregled.
U svom otvorenom pismu, članovi grupe izjavili su da su njihove aktivnosti motivirane isključivo iz dobre namjere i želje za poboljšanjem postupka revizije promjena koje identificiraju i uklanjaju slabosti.
Skupina već duži niz godina proučava procese koji dovode do pojave ranjivosti i aktivno radi na identificiranju i uklanjanju ranjivosti u Linux jezgri. 190 zakrpa poslanih na novi pregled navodno je legitimno, rješava postojeće probleme i ne sadrži namjerne pogreške ili skrivene ranjivosti.
Alarmantno istraživanje za promicanje skrivenih ranjivosti odvijalo se u kolovozu prošle godine i ograničilo se na isporuku tri zakrpe programskih pogrešaka, od kojih nijedna nije došla do jezgrene baze jezgre.
Aktivnost vezana uz ove zakrpe bila je ograničena samo na raspravu, a promocija zakrpe zaustavljena je u jednoj fazi prije nego što su promjene dodane u Git.
Kôd za tri problematične zakrpe tek treba dostaviti, jer će to otkriti lica onih koji su obavili početni pregled (podaci će se otkriti nakon dobivanja pristanka programera koji nisu priznali programske pogreške).
Glavni izvor istraživanja nisu bile naše vlastite zakrpe, već analiza zakrpa drugih ljudi koje su jednom dodavane u jezgru zbog ranjivosti koje su se kasnije pojavile. Tim Sveučilišta Minnesota nema nikakve veze s dodavanjem ovih zakrpa.
Proučeno je ukupno 138 zakrpa problema koje uzrokuju bugove, a kada su objavljeni rezultati studije, sve povezane greške bile su ispravljene, čak i uz sudjelovanje istraživačkog tima.
Istraživači žale što su upotrijebili neprikladnu metodu za provođenje eksperimenta. Pogreška je bila što je istraga provedena bez odobrenja i bez obavještavanja zajednice. Razlog skrivene aktivnosti bila je želja za postizanjem čistoće eksperimenta, jer je obavijest mogla odvojeno skrenuti pozornost na zakrpe i njihovu ocjenu, a ne na općenit način.
dok cilj je bio poboljšati osnovnu sigurnost, Istraživači su sada shvatili da je korištenje zajednice kao zamorca bilo pogrešno i neetično. Istodobno, istraživači uvjeravaju da nikada ne bi namjerno naštetili zajednici i ne bi dopustili uvođenje novih ranjivosti u radni kod jezgre.
Što se tiče besmislene zakrpe koja je poslužila kao katalizator pada, ona nije povezana s prethodnim istraživanjima i povezana je s novim projektom usmjerenim na stvaranje alata za automatizirano otkrivanje bugova koji se pojavljuju kao rezultat dodavanja drugih zakrpa.
Grupa sada pokušava pronaći načine za povratak u razvoj i namjerava uspostaviti svoj odnos s Linux Foundation i zajednicom programera, dokazujući njezinu vrijednost u poboljšanju sigurnosti jezgre i izražavajući želju da se više radi na bolje. Zajedničko i povratiti povjerenje .
Greg Kroah-Hartman je na to odgovorio tehničko vijeće Linux Foundation poslao je pismo na Sveučilište Minnesota u petak opisujući konkretne radnje koje treba poduzeti za vraćanje povjerenja u grupu. Dok se ove radnje ne dovrše, još se nema o čemu raspravljati.
izvor: https://l25kml.org
Zvuči mi kao:
Hajde, znamo da ste nas uhvatili. Ali kvragu je to bilo želja! Možete li nam dopustiti da stavimo još 20 zakrpa koje smo pripremili? "
Ti ljudi imaju puno glava.
Politički ispravan izgovor, ali ... više se ne šulja.