Sekumpulan penyelidik dari University of Minnesota, yang penerimaan perubahannya baru-baru ini disekat oleh Greg Kroah-Hartman, menghantar surat permohonan maaf terbuka dan menerangkan sebab-sebab aktiviti mereka.
Penyumbatan itu disebabkan kumpulan itu menyiasat kelemahan semasa mengkaji tambalan masukdan menilai kemungkinan menuju ke inti perubahan dengan kelemahan tersembunyi. Setelah menerima tampalan yang boleh dipersoalkan dari salah satu ahli kumpulan dengan penyelesaian yang tidak masuk akal, diandaikan bahawa penyelidik sekali lagi cuba bereksperimen dengan pembangun kernel.
Oleh kerana percubaan seperti itu berpotensi menimbulkan risiko keselamatan dan mengambil masa untuk pelaku, diputuskan untuk menyekat penerimaan perubahan dan menyerahkan semua tambalan yang diterima sebelumnya untuk disemak.
Dalam surat terbuka anda, ahli kumpulan menyatakan bahawa aktiviti mereka bermotivasi secara eksklusif untuk niat baik dan keinginan untuk memperbaiki proses tinjauan perubahan mengenal pasti dan menghilangkan kelemahan.
Kumpulan ini telah mempelajari proses yang menyebabkan munculnya kerentanan selama bertahun-tahun dan secara aktif berusaha untuk mengenal pasti dan menghilangkan kerentanan dalam kernel Linux. 190 tambalan yang diserahkan untuk tinjauan baru dikatakan sah, memperbaiki masalah yang ada, dan tidak mengandungi bug yang disengajakan atau kelemahan tersembunyi.
Penyelidikan yang membimbangkan untuk mempromosikan kerentanan tersembunyi dilakukan pada bulan Ogos tahun lalu dan membatasi dirinya untuk menyerahkan tiga patch bug, tidak ada yang membuatnya ke pangkalan kode kernel.
Aktiviti yang berkaitan dengan tambalan ini hanya terbatas pada perbincangan, dan promosi tambalan dihentikan pada satu tahap sebelum perubahan ditambahkan ke Git.
Kod untuk ketiga-tiga tambalan yang bermasalah belum diberikan, kerana ini akan menunjukkan wajah mereka yang melakukan tinjauan awal (maklumat tersebut akan didedahkan setelah mendapat persetujuan daripada pembangun yang tidak mengakui bug).
Sumber penyelidikan utama bukanlah patch kita sendiri, tetapi analisis tambalan orang lain yang pernah ditambahkan ke kernel, kerana kerentanan kemudian muncul. Pasukan University of Minnesota tidak ada kaitan dengan penambahan tambalan ini.
Sebanyak 138 tambalan masalah pemberian bug telah dikaji, dan ketika hasil penelitian diterbitkan, semua bug terkait telah diperbaiki, bahkan dengan penglibatan tim penyelidik.
Para penyelidik menyesal kerana telah menggunakan kaedah yang tidak sesuai untuk menjalankan eksperimen tersebut. Kesalahannya adalah bahawa siasatan dilakukan tanpa kebenaran dan tanpa memberitahu masyarakat. Sebab aktiviti tersembunyi itu adalah keinginan untuk mencapai kemurnian eksperimen, kerana pemberitahuan dapat menarik perhatian secara terpisah pada tambalan dan penilaiannya, bukan dengan cara umum.
Sementara itu tujuannya adalah untuk meningkatkan keselamatan asas, Para penyelidik kini menyedari bahawa menggunakan komuniti sebagai guinea pig adalah salah dan tidak beretika. Pada masa yang sama, para penyelidik memberi jaminan bahawa mereka tidak akan sengaja menyakiti masyarakat dan tidak akan membenarkan pengenalan kerentanan baru ke dalam kod kernel yang berfungsi.
Adapun patch yang tidak masuk akal yang berfungsi sebagai pemangkin kemalangan, ia tidak berkaitan dengan penyelidikan sebelumnya dan berkaitan dengan projek baru yang bertujuan untuk membuat alat untuk mengesan bug automatik yang muncul sebagai hasil penambahan tambalan lain.
Kumpulan ini kini berusaha mencari jalan untuk kembali ke pembangunan dan bermaksud menjalin hubungannya dengan Yayasan Linux dan komuniti pemaju, membuktikan nilainya dalam meningkatkan keselamatan kernel dan menyatakan keinginan untuk bekerja lebih keras untuk yang lebih baik. .
Greg Kroah-Hartman menjawab bahawa majlis teknikal Linux Foundation menghantar sepucuk surat ke University of Minnesota pada hari Jumaat menerangkan tindakan khusus yang mesti dilakukan untuk mengembalikan kepercayaan dalam kumpulan. Sehingga tindakan ini selesai, belum ada yang perlu dibincangkan.
Fuente: https://l25kml.org
Kedengarannya seperti:
Ayuh, kami tahu anda telah menangkap kami. Tapi sial memang sudah mahukan! Bolehkah anda membiarkan kami memasukkan 20 patch yang telah kami sediakan? »
Orang-orang ini mempunyai banyak kepala.
Alasan politik yang betul, tetapi ... tidak lagi menyelinap.