काही दिवसांपूर्वी एक असामान्य घटना घडली, ज्याने लिनक्स कर्नल समुदायाला हादरवून टाकले आणि ते म्हणजे लिनस टोरवाल्ड्सने kernel.org वरील कीज कुकचे खाते तात्काळ निलंबित करण्याचे आदेश दिले., या डेव्हलपरच्या Git रिपॉझिटरीमध्ये मॅनिपुलेटेड कमिटचे अस्तित्व आढळल्यानंतर.
कीज कुक, त्याच्या नेतृत्वासाठी ओळखले जाणारे उबंटू सुरक्षा टीमवर आणि कर्नलच्या डझनभराहून अधिक सुरक्षा-संबंधित उपप्रणालींच्या देखभालीसाठी, तथ्ये स्पष्ट होत असताना बदल सादर करण्यास तात्पुरती बंदी घालण्यात आली होती.
कीज कुक रिपॉझिटरीमध्ये लेखकत्व आणि स्वाक्षऱ्यांमध्ये बदल
ही समस्या बदलाच्या निगमन विनंतीमुळे उद्भवली.s ६.१६ कर्नल शाखेत, ज्यामध्ये लिनसने एका भांडाराचे संदर्भ ओळखले त्यामध्ये हाताळणी करून कमिट करते लेखक आणि पुष्टीकर्ता म्हणून त्याचे नाव, जरी त्याने ते स्वतः केले नसले तरी. सर्वात गंभीर उदाहरणांपैकी एक म्हणजे डुप्लिकेट कमिटचे अस्तित्व, मूळ आवृत्तीसारखेच परंतु वेगळ्या SHA1 हॅशसह, ज्यामध्ये लिनस टोरवाल्ड्सची स्वाक्षरी खोटी होती.
हे बदल केवळ अपघाती चुकीला जबाबदार धरता येणार नाहीl गिट रिबेस ऑपरेशन दरम्यान, कारण त्यात मोठ्या प्रमाणात बदल करण्यात आले होते संवेदनशील माहितीचा समावेश होता, ज्यामध्ये ६,००० हून अधिक पुनर्लिखित कमिटचा समावेश होता, ज्यापैकी ३३० मध्ये लिनसचे नाव लेखक म्हणून होते.
टोरवाल्ड्सची प्रतिक्रिया: जाणूनबुजून हाताळणीचा संशय
लिनस टोरवाल्ड्सने आपली चिंता लपवली नाही. आणि घटनांचे वर्णन संभाव्यतः दुर्भावनापूर्ण म्हणून केले:
"एक किंवा दोन पुनर्लेखन चूक असू शकते. पण त्यापैकी हजारो, ज्यांपैकी अनेकांची माझी बनावट स्वाक्षरी आहे, ती चूक नाहीत," असे त्यांनी जाहीर केले.
बदलांची तीव्रता आणि अधिकृत कर्नल ट्रीच्या अखंडतेला असलेला धोका लक्षात घेता, टोरवाल्ड्सने कॉन्स्टँटिन रियाबित्सेव्हला विचारले, kernel.org इन्फ्रास्ट्रक्चर प्रशासक, qपरिस्थिती स्पष्ट होईपर्यंत कीज कुकचा प्रवेश रोखण्यासाठी.
प्रतिसादात, कीस कुक यांनी स्पष्ट केले की त्यांना अलिकडेच तांत्रिक समस्या आल्या होत्या त्यामुळे ही घटना घडली असावी. तो म्हणाला, कॉपी ऑपरेशन्स दरम्यान तुमच्या SSD ड्राइव्हमध्ये त्रुटी येत होत्या, ज्यामुळे करप्ट झाला होता. अनेक रिपॉझिटरीजमध्ये. या त्रुटींनंतर, त्याने गिट रिबेस आणि विविध ऑटोमेशन टूल्स वापरून त्याच्या रिपॉझिटरीची स्थिती पुनर्प्राप्त करण्याचा प्रयत्न केला.
तथापि, ही ऑपरेशन्स गंभीर शाखांवर करण्यात आली., जसे की for-next/hardening आणि for-linus/hardening, ज्यामुळे रिपॉझिटरी इतिहासात अपघाती बदल झाला, ज्यामध्ये कमिट्सच्या लेखकत्वात बदल समाविष्ट होता. त्याच्या स्पष्टीकरणानंतरही, लिनसला शंका होती.:
"मला समजत नाही की अपघाती ओव्हरटेकिंग कसे होऊ शकते, इतक्या मोठ्या प्रमाणात बदल करून तर दूरच."
खरा गुन्हेगार: गिट-फिल्टर-रेपो आणि बी४ ट्रेलर्स
नंतरच्या संदेशात, कीज कुकने त्रुटीचे संभाव्य स्रोत ओळखले.: दोन साधनांचा एकत्रित वापर, git-filter-repo आणि b4 ट्रेलर्स, जे कमिट इतिहासात फेरफार करतात आणि कमिटमध्ये ट्रेलर (साइन-ऑफ-बाय: सारखे टॅग).
हा चुकीचा वापर नफ्यातील रक्कम हजारो कमिटचे स्वयंचलित पुनर्लेखन झाले असते, लेखकाच्या जागी डीफॉल्ट मूल्य (या प्रकरणात, लिनस टोरवाल्ड्स) समाविष्ट करणे, कीसला त्यावेळी चूक लक्षात न येताb4 टूलचे लेखक कॉन्स्टँटिन रियाबित्सेव्ह यांनी या सिद्धांताची पुष्टी केली आणि कुकचा कोणताही दुर्भावनापूर्ण हेतू नव्हता असे प्रतिपादन केले. खरं तर, सिस्टम आधीच अशा इशारे देत होती ज्यांकडे दुर्लक्ष केले गेले.
परिस्थिती स्पष्ट झाल्यानंतर, कीज कुकचा kernel.org वरील प्रवेश पुनर्संचयित करण्यात आला. प्रतिबंधात्मक उपाय म्हणून, हे साधन जाहीर करण्यात आले आहे b4 मध्ये एक नवीन सुरक्षा तपासणी समाविष्ट असेल, यामुळे आतापासून अशा कमिटमध्ये बदल होण्यास प्रतिबंध होईल ज्यांचे लेखकत्व सध्याच्या वापरकर्त्याच्या ओळखीशी जुळत नाही. हे अशाच प्रकारच्या चुका टाळण्यासाठी आणि कर्नल सोर्स कोडची अखंडता संरक्षित करण्यासाठी आहे.
कीसने, त्यांच्या बाजूने, प्रभावित फांद्या पुन्हा तयार करण्याचे वचन दिले. वैयक्तिक पॅचेसमधून आणि त्रुटीकडे नेणाऱ्या पायऱ्यांचे सखोल विश्लेषण करा. जरी या घटनेमुळे संघातील संबंध ताणले गेले आहेत. कर्नल डेव्हलपमेंटने इतिहास पुनर्लेखन साधने सावधगिरीने वापरण्याचे महत्त्व देखील अधोरेखित केले आहे, विशेषतः लिनक्स कर्नलसारख्या महत्त्वाच्या प्रकल्पांमध्ये.
शेवटी, हे लक्षात घेण्यासारखे आहे की लिनस टोरवाल्ड्स आणि कीस कुक यांच्यातील ही घटना कमिट इतिहासात फेरफार करण्याच्या धोक्यांबद्दल इशारा देते आणि ते जलद हस्तक्षेपाबद्दल धन्यवाद kernel.org आणि प्रक्रियेच्या पारदर्शकतेसाठी जबाबदार असलेल्यांकडून, परिस्थिती नियंत्रणात आली आहे..
शेवटी, जर तुम्हाला त्याबद्दल अधिक जाणून घ्यायचे असेल, तर तुम्ही खालील तपशील तपासू शकता दुवा