Sfatul tehnic al Fundația Linux a lansat recent un raport consolidat despre incident legate de cercetători de la Universitatea din Minnesota ceea ce a devenit un scandal, deoarece au făcut încercări de a introduce patch-uri în nucleu care conțin erori ascunse care duc la vulnerabilități.
Dezvoltatorii nucleului au confirmat informațiile publicate anterior că din 5 patch-uri pregătite în cadrul investigației „Hypocrite Commits”, 4 patch-uri cu vulnerabilități au fost imediat aruncate la inițiativa întreținătorilor și nu au intrat în depozitul kernelului.
În plus, Au fost analizate 435 de confirmări, inclusiv remedieri trimise de dezvoltatorii de la Universitatea din Minnesota și care nu au legătură cu un experiment de promovare a vulnerabilităților ascunse.
Pe 20 aprilie 2021, având în vedere percepția că un grup de cercetătorii de la Universitatea din Minnesota (UMN) au reluat transportul de coduri care compromit nucleul Linux.
Greg Kroah-Hartman a cerut comunității să nu mai accepte patch-uri UMN și a început a o nouă revizuire a tuturor dosarelor de la Universitate acceptate anterior.
Acest raport rezumă evenimentele care au condus la acest punct, recenzii șiDocumentul „Ipocritul se angajează” care fusese înaintat spre publicare și revizuiește toate comisiile anterioare cunoscute ale nucleului de la autorii lucrărilor UMN care a fost acceptat în depozitul nostru sursă. Se încheie cu unii sugestii despre cum se poate muta comunitatea, inclusiv UMN
redirecţiona. Contribuitorii acestui document includ membri Linux
Consiliul Consultativ Tehnic al Fundației (TAB), cu ajutorul revizuirii patch-urilor
mulți alți membri ai comunității de dezvoltatori ai nucleului Linux.
Și din 2018, o echipă de cercetători de la Universitatea din Minnesota a fost destul de activă în corectarea erorilor. Noua revizuire nu a dezvăluit nicio activitate rău intenționată în aceste comiteri, dar a dezvăluit unele erori și deficiențe neintenționate.
de asemenea Se raportează că 349 de comite-uri au fost considerate corecte și nu au fost modificate. În 39 de comiteri, au fost găsite probleme care necesită remediere; aceste comiteri au fost anulate și vor fi înlocuite cu remedieri mai corecte înainte de lansarea nucleului 5.13.
Erorile din 25 de comite au fost remediate în modificările ulterioare, iar 12 comite și-au pierdut relevanța, deoarece au afectat sistemele moștenite care au fost deja eliminate din nucleu. Una dintre comiterile de succes a fost anulată la cererea autorului. 9 comisioane corecte au fost trimise de la adresele @umn.edu cu mult înainte de formarea echipei de cercetare analizată.
Pentru a recâștiga încrederea în echipa Universității din Minnesota și a recâștiga oportunitatea de a participa la dezvoltarea kernel-ului, Linux Foundation a propus o serie de cerințe, dintre care majoritatea au fost deja îndeplinite.
Due diligence a necesitat un audit pentru a identifica autorii care au participat în diferite proiecte de cercetare UMN, identificați intenția oricăruia patch-uri și eliminați patch-urile proaste, indiferent de intenție. Aceasta încearcă să restaurezeÎncrederea comunității în grupurile de cercetare este, de asemenea, importantă, deoarece aceastaAcest incident ar putea avea un impact larg asupra încrederii în ambele adrese care ar putea răci implicarea oricărui cercetător în nucleu și în în curs de dezvoltare.
De exemplu, cercetătorii au publicat deja „Hypocrite Commits” și și-au anulat discursul de la Simpozionul IEEE, pe lângă faptul că au dezvăluit public cronologia completă a evenimentelor și au furnizat detalii despre modificările prezentate în timpul studiului.
Trebuie să-ți amintești asta Greg Kroah-Hartman, care este responsabil pentru menținerea ramurii stabile a nucleului Linux a observat evenimentul și a luat decizia de a refuza orice schimbări de la Universitatea din Minnesota la nucleul Linuxși reveniți la toate patch-urile acceptate anterior și verificați-le din nou.
Motivul blocadei a fost activitățile unui grup de cercetare care studiază posibilitatea promovării vulnerabilităților ascunse în codul proiectelor open source, deoarece acest grup a trimis patch-uri care includ erori de diferite tipuri.
Fuente: https://lore.kernel.org