Skupina vedcov z University of Minnesota, ktorých prijatie zmien nedávno zablokoval Greg Kroah-Hartman, zaslal otvorený ospravedlňujúci list a vysvetľuje dôvody ich činnosti.
Blokovanie bolo spôsobené skupina vyšetrovala slabiny pri kontrole prichádzajúcich oprávs a vyhodnotiť možnosť ísť k jadru zmien so skrytými zraniteľnosťami. Po prijatí pochybnej opravy od jedného z členov skupiny s nezmyselným riešením sa predpokladalo, že vedci sa opäť pokúšajú experimentovať s vývojármi jadier.
Pretože takéto experimenty môžu potenciálne predstavovať bezpečnostné riziko a pre zadávateľov určitý čas trvať, bolo rozhodnuté zablokovať prijímanie zmien a odoslať všetky predtým prijaté opravy na kontrolu.
Vo svojom otvorenom liste členovia skupiny uviedli, že ich aktivity boli motivované výlučne z dobrých úmyslov a vôle vylepšiť proces kontroly zmien identifikujúcich a eliminujúcich slabé stránky.
Skupina dlhé roky študuje procesy vedúce k vzniku zraniteľností a aktívne pracuje na identifikácii a eliminácii zraniteľností v jadre Linuxu. 190 opráv odoslaných na novú kontrolu je považovaných za legitímnych, opravujúcich existujúce problémy a neobsahujúcich žiadne zámerné chyby ani skryté chyby zabezpečenia.
Alarmujúci výskum na podporu skrytých zraniteľností sa uskutočnil v auguste minulého roku a obmedzil sa na doručenie troch opráv chýb, z ktorých sa žiadna nedostala do kódovej základne jadra.
Činnosť súvisiaca s týmito opravami bola obmedzená iba na diskusiu a propagácia opráv bola zastavená v jednej fáze pred pridaním zmien do Gitu.
Je potrebné ešte poskytnúť kód pre tri problematické opravy, pretože odhalí tváre tých, ktorí vykonali počiatočnú kontrolu (informácie budú odhalené po získaní súhlasu vývojárov, ktorí chyby neuznali).
Hlavným zdrojom výskumu neboli naše vlastné opravy, ale analýza opráv iných ľudí, ktoré boli kedysi pridané do jadra kvôli následným zraniteľnostiam. Tím University of Minnesota nemá s pridaním týchto opráv nič spoločné.
Celkovo bolo študovaných 138 opráv s problémami, ktoré dávali chyby. Po zverejnení výsledkov štúdie boli všetky súvisiace chyby opravené, a to aj za účasti výskumného tímu.
vedci ľutujú, že na uskutočnenie experimentu použili nevhodnú metódu. Chybou bolo, že vyšetrovanie sa uskutočnilo bez povolenia a bez oznámenia komunite. Dôvodom skrytej aktivity bola túžba dosiahnuť čistotu experimentu, pretože notifikácia mohla osobitne upozorňovať na opravy a ich hodnotenie, nie všeobecne.
zatiaľ čo cieľom bolo zlepšenie základnej bezpečnosti, Vedci si teraz uvedomili, že používanie komunity ako morčaťa bolo nesprávne a neetické. Vedci zároveň ubezpečujú, že by nikdy zámerne nepoškodili komunitu a nedovolili zavedenie nových zraniteľností do pracovného kódu jadra.
Pokiaľ ide o nezmyselnú opravu, ktorá slúžila ako katalyzátor havárie, nesúvisí s predchádzajúcim výskumom a súvisí s novým projektom zameraným na vytvorenie nástrojov na automatickú detekciu chýb, ktoré sa objavia v dôsledku pridania ďalších opráv.
Skupina sa teraz snaží nájsť spôsoby, ako sa vrátiť späť do vývoja, a chce vytvoriť svoj vzťah s nadáciou Linux Foundation a komunitou vývojárov. Dokazuje svoju hodnotu pri zlepšovaní bezpečnosti jadra a vyjadruje želanie tvrdo pracovať pre lepšie. .
Greg Kroah-Hartman to odpovedal technická rada Linux Foundation poslala list v piatok na univerzitu v Minnesote popisujúci konkrétne kroky, ktoré je potrebné podniknúť na obnovenie dôvery v skupinu. Kým nebudú tieto akcie dokončené, nie je zatiaľ o čom diskutovať.
Fuente: https://l25kml.org
Znie mi to ako:
No tak, vieme, že si nás chytil. Ale čert to chcel Môžete nám dovoliť vložiť ďalších 20 opráv, ktoré sme pripravili? »
Títo ľudia majú veľa hláv.
Politicky správna výhovorka, ale ... už sa nekrádajú.