Skupina raziskovalcev z Univerze v Minnesoti, čigar sprejemanje sprememb je nedavno blokiral Greg Kroah-Hartman, objavil odprto pismo opravičila in pojasnjuje razloge za svoje dejavnosti.
Do blokade je prišlo skupina je preiskovala slabosti pri pregledu dohodnih popravkovs in oceniti možnost, da gremo k bistvu sprememb s skritimi ranljivostmi. Po prejemu vprašljivega popravka enega od članov skupine z nesmiselno rešitvijo se je domnevalo, da raziskovalci znova poskušajo eksperimentirati z razvijalci jedra.
Ker takšni poskusi potencialno predstavljajo varnostno tveganje in zahtevajo čas za storilce, je bilo sklenjeno, da se sprejetje sprememb blokira in vsi prej sprejeti popravki predložijo v pregled.
V svojem odprtem pismu člani skupine so izjavili, da so njihove dejavnosti motivirane izključno zaradi dobrih namenov in želje po izboljšanju postopka pregleda sprememb, ki prepoznajo in odpravijo slabosti.
Skupina že vrsto let preučuje procese, ki vodijo do pojava ranljivosti, in si aktivno prizadeva za prepoznavanje in odpravljanje ranljivosti v jedru Linuxa. 190 popravkov, predloženih v nov pregled, naj bi bilo legitimnih, odpravljati obstoječe težave in ne vsebuje namernih napak ali skritih ranljivosti.
Alarmantna raziskava za promocijo skritih ranljivosti je bila izvedena avgusta lani in se je omejila na pošiljanje treh popravkov napak, od katerih nobeden ni prišel v kodno bazo jedra.
Dejavnost, povezana s temi popravki, je bila omejena samo na razprave, promocija popravkov pa je bila zaustavljena v eni fazi, preden so bile spremembe dodane v Git.
Kode za tri problematične popravke še ni treba posredovati, saj bodo s tem razkriti obrazi tistih, ki so opravili začetni pregled (informacije bodo razkrite po pridobitvi soglasja razvijalcev, ki napak niso priznali).
Glavni vir raziskav niso bili naši lastni popravki, temveč analiza popravkov drugih ljudi, ki so bili nekoč dodani v jedro zaradi kasneje nastalih ranljivosti. Ekipa Univerze v Minnesoti nima nič skupnega z dodajanjem teh popravkov.
Skupaj je bilo preučenih 138 popravkov težav, ki povzročajo napake, in ko so bili objavljeni rezultati študije, so bile odpravljene vse povezane napake, tudi z vključitvijo raziskovalne skupine.
Raziskovalci obžalujejo, da so za izvedbo poskusa uporabili neprimerno metodo. Napaka je bila, da je bila preiskava izvedena brez dovoljenja in brez obveščanja skupnosti. Razlog za skrito aktivnost je bila želja po doseganju čistosti poskusa, saj je lahko obvestilo ločeno opozorilo na popravke in njihovo oceno, ne na splošno.
Medtem ko cilj je bil izboljšati osnovno varnost, Raziskovalci so zdaj ugotovili, da je bila uporaba skupnosti kot morskega prašička napačna in neetična. Hkrati raziskovalci zagotavljajo, da nikoli ne bi namerno škodovali skupnosti in ne bi dovolili uvajanja novih ranljivosti v delujočo kodo jedra.
Kar zadeva nesmiselni popravek, ki je služil kot katalizator za zrušitev, ni povezan s prejšnjimi raziskavami in je povezan z novim projektom, katerega namen je ustvariti orodja za avtomatizirano zaznavanje napak, ki se pojavijo kot rezultat dodajanja drugih popravkov.
Skupina zdaj poskuša najti načine za vrnitev v razvoj in namerava vzpostaviti odnos z Fundacijo Linux in skupnostjo razvijalcev, s čimer dokaže svojo vrednost pri izboljšanju varnosti jedra in izrazi željo po bolj prizadevanju za boljše. .
Greg Kroah-Hartman je odgovoril tehnični svet Linux Foundation je poslal pismo na univerzo v Minnesoti v petek opis konkretnih ukrepov za ponovno vzpostavitev zaupanja v skupino. Dokler se ti ukrepi ne zaključijo, se še ni o čem pogovarjati.
vir: https://l25kml.org
Sliši se mi:
Daj no, vemo, da si nas ujel. Ampak hudiča je že hotel! Nam lahko dovolite, da vstavimo še 20 popravkov, ki smo jih pripravili? "
Ti ljudje imajo veliko glav.
Politično korekten izgovor, vendar ... ne prikrade se več.