Teknisk råd av Linux Foundation ga nylig ut en konsolidert rapport om hendelsen relatert til forskere fra University of Minnesota som ble en skandale, ettersom de gjorde forsøk på å introdusere kjernelapper som inneholder skjulte feil som fører til sårbarheter.
Kjerneutviklerne bekreftet den publiserte informasjonen tidligere, av 5 lapper utarbeidet i løpet av «Hypocrite Commits» -undersøkelsen, ble 4 lapper med sårbarhet kastet umiddelbart og på initiativ fra vedlikeholdere og kom ikke inn i kjernelageret.
Videre 435 bekreftelser ble analysert, inkludert rettelser sendt av utviklere fra University of Minnesota og ikke er relatert til et eksperiment for å fremme skjulte sårbarheter.
20. april 2021 gitt oppfatningen om at en gruppe på forskere ved University of Minnesota (UMN) hadde gjenopptatt forsendelsen kode som kompromitterer Linux-kjernen.
Greg Kroah-Hartman ba samfunnet slutte å godta oppdateringer fra UMN og startet en ny gjennomgang av alle tidligere aksepterte universitetsinnlegg.
Denne rapporten oppsummerer hendelsene som førte til dette punktet, anmeldelser ogdokumentet "Hypocrite Commits" som ble sendt til publisering, og gjennomgår alle kjente tidligere kjerneforpliktelser fra UMN-artikkelforfattere som har blitt akseptert i kildedepotet vårt. Avslutt med noen forslag til hvordan samfunnet, inkludert UMN, kan bevege seg
framover. Bidragsytere til dette dokumentet inkluderer Linux-medlemmer
Foundation Technical Advisory Board (TAB), ved hjelp av patch review fra
mange andre medlemmer av Linux-kjernens utviklerfellesskap.
Og siden 2018 har et team av forskere fra University of Minnesota vært ganske aktivt i å rette opp feil. Den nye gjennomgangen avslørte ingen skadelig aktivitet i disse forpliktelsene, men det avslørte noen utilsiktede feil og mangler.
Også Det rapporteres at 349 bekreftelser ble ansett som riktige og uendrede. I 39 forpliktelser ble det funnet problemer som krever reparasjon; disse forpliktelsene er kansellert og vil bli erstattet av mer riktige rettinger før kjernen 5.13 blir utgitt.
Feilene i 25 forpliktelser ble løst i påfølgende endringer og 12 forpliktelser mistet relevansen, siden de påvirket eldre systemer som allerede er fjernet fra kjernen. En av de vellykkede bekreftelsene ble avlyst på forespørsel fra forfatteren. 9 riktige bekreftelser ble sendt fra @ umn.edu-adresser lenge før dannelsen av det analyserte forskerteamet.
For å gjenvinne tilliten til University of Minnesota-teamet og gjenvinne muligheten til å delta i kjerneutvikling, har Linux Foundation foreslått en rekke krav, hvorav de fleste allerede er oppfylt.
Due diligence krevde en revisjon for å identifisere hvilke forfattere som deltok i forskjellige forskningsprosjekter i UMN, identifiser intensjonen til noen lapp og fjern defekte lapper uavhengig av intensjon. Dette søker å gjenopprette lSamfunnets tillit til forskningsgrupper er også viktig siden denDenne hendelsen kan ha en vidtgående innvirkning på tilliten til begge adresser som kan avkjøle enhver forskers deltakelse i kjernen og i utvikler seg.
For eksempel har forskerne allerede trukket publiseringen av "Hypocrite Commits" og avlyst deres tale på IEEE Symposium, i tillegg til å offentliggjøre den fullstendige kronologien over hendelser og gi detaljer om endringene som ble sendt inn under studien.
Du må huske det Greg Kroah-Hartman, som er ansvarlig for å opprettholde den stabile grenen av Linux-kjernen la merke til hendelsen og tok beslutningen om å nekte endringer fra University of Minnesota til Linux-kjernen, og tilbakestill alle tidligere aksepterte oppdateringer og kontroller dem på nytt.
Årsaken til blokaden var aktivitetene til en forskningsgruppe som studerer muligheten for å fremme skjulte sårbarheter i koden til åpen kildekode-prosjekter, siden denne gruppen har sendt oppdateringer som inkluderer feil av forskjellige typer.
Fuente: https://lore.kernel.org