Prieš kelias dienas įvyko neįprastas incidentas, kuris sukrėtė „Linux“ branduolio bendruomenę, ir tai yra Linus Torvalds įsakė nedelsiant sustabdyti Keeso Cooko paskyrą kernel.org svetainėje., aptikus manipuliuojamų pakeitimų egzistavimą šio kūrėjo „Git“ saugykloje.
Keesas Kukas, pripažintas už savo lyderystę „Ubuntu“ saugumo komandoje ir už daugiau nei dešimties su saugumu susijusių branduolio posistemių priežiūrą, buvo laikinai uždrausta teikti pakeitimus, kol bus išsiaiškinti faktai.
Autorystės ir parašų keitimas „Kees Cook“ saugykloje
Problema kilo dėl pakeitimų įtraukimo prašymo.s į 6.16 branduolio šaką, kurioje Linusas identifikavo nuorodas į saugyklą kad buvo įsipareigoja manipuliuoti jo, kaip autoriaus ir patvirtintojo, vardas, nors jis pats jų nepadarė. Vienas rimčiausių pavyzdžių buvo dublikato, identiško turinio kaip ir originalas, bet su skirtinga SHA1 maišos verte, egzistavimas, kuriame melagingai buvo įtrauktas Linuso Torvaldso parašas.
Šie pokyčiai negalima priskirti vien atsitiktinei klaidail atliekant „git“ perbazavimo operaciją, nes jie apėmė didelius pakeitimus neskelbtinos informacijos, įskaitant daugiau nei 6.000 perrašytų pakeitimų, iš kurių 330 buvo autoriaus vardu nurodytas Linusas.
Torvaldo reakcija: įtarimai dėl tyčinio manipuliavimo
Linus Torvalds neslėpė savo susirūpinimo. ir apibūdino įvykius kaip potencialiai kenkėjiškus:
„Vienas ar du perrašymai galėtų būti klaida. Tačiau tūkstančiai jų, daugelis su mano suklastotu parašu, nėra“, – pareiškė jis.
Atsižvelgiant į pakeitimų mastą ir riziką oficialaus branduolio medžio vientisumui, Torvaldsas paklausė Konstantino Riabicevo, kernel.org infrastruktūros administratorius, qkad užblokuotų Keeso Cooko prieigą, kol situacija bus išaiškinta.
Atsakant, Keesas Cookas paaiškino, kad neseniai turėjo techninių problemų. kas galėjo išprovokuoti incidentą. Jis pasakė, Jūsų SSD diske kopijavimo operacijų metu kilo klaidų, dėl kurių diskas buvo sugadintas. keliose saugyklose. Po šių klaidų jis bandė atkurti saugyklos būseną naudodamas „git rebase“ ir įvairius automatizavimo įrankius.
Tačiau šios operacijos buvo atliktos svarbiausiose šakose., pvz., „for-next/hardening“ ir „for-linus/hardening“, dėl kurių buvo netyčia pakeista saugyklos istorija, įskaitant pakeitimų, atliktų pakeitimų, autorystę. Nepaisant paaiškinimo, Linas buvo skeptiškas.:
"Nesuprantu, kaip galėjo įvykti netyčinis lenkimas, jau nekalbant apie tokius pakeitimus."
Tikrasis kaltininkas: „git-filter-repo“ ir „b4“ anonsai
Vėlesnėje žinutėje, Keesas Cookas nustatė galimą klaidos šaltinį: dviejų įrankių derinys, „git-filter-repo“ ir „b4“ priekabos, kurios manipuliuoja pakeitimų istorija ir priekabas (žymes, tokias kaip „Signed-off-by:“) pakeitimų failuose.
Šis neteisingas naudojimas pelno būtų automatiškai perrašę tūkstančius pakeitimų, įskaitant autoriaus pakeitimą numatytąja verte (šiuo atveju Linus Torvalds), Keesui tuo metu nepastebėjus klaidosKonstantinas Riabicevas, „b4“ įrankio autorius, patvirtino šią teoriją ir tvirtino, kad iš Cooko pusės nebuvo jokių piktavališkų ketinimų. Tiesą sakant, sistema jau generavo įspėjimus, kurie buvo ignoruojami.
Išsiaiškinus situaciją, Keeso Cooko prieiga prie kernel.org buvo atkurta. Kaip prevencinė priemonė, buvo paskelbta, kad įrankis b4 bus įtrauktas naujas saugumo patikrinimas, Tai nuo šiol neleis modifikuoti pakeitimų, kurių autorystė nesutampa su dabartinio vartotojo tapatybe. Tai skirta užkirsti kelią panašioms klaidoms ir apsaugoti branduolio šaltinio kodo vientisumą.
Keesas savo ruožtu pažadėjo atkurti paveiktas šakas. iš atskirų pataisų ir nuodugniai išanalizuoti veiksmus, kurie lėmė klaidą. Nors Šis incidentas įtempė santykius komandoje branduolio kūrimas taip pat pabrėžė atsargaus istorijos perrašymo įrankių naudojimo svarbą, ypač tokiuose svarbiuose projektuose kaip „Linux“ branduolys.
Galiausiai verta paminėti, kad šis incidentas tarp Linuso Torvaldso ir Keeso Cooko yra įspėjimas apie pavojus, kylančius manipuliuojant pakeitimų istorija, ir kad dėka greito įsikišimo iš tų, kurie atsakingi už kernel.org ir proceso skaidrumą, situacija buvo suvaldyta.
Galiausiai, jei norite sužinoti daugiau, galite peržiūrėti toliau pateiktą informaciją. nuoroda