Пре неколико дана догодио се необичан инцидент, што је потресло заједницу љубитеља Линукс кернела, а то је Линус Торвалдс је наредио тренутну суспензију налога Киса Кука на kernel.org., након што је открио постојање манипулисаних commit-ова у Git репозиторијуму овог програмера.
Киз Кук, препознат по свом вођству у тиму за безбедност Убунтуа и за одржавање више од десетак подсистема језгра везаних за безбедност, привремено је забрањено подношење измена док се чињенице не разјасне.
Измена ауторства и потписа у репозиторијуму Kees Cook
Проблем је настао због захтева за промену уноса.s до гране језгра 6.16, у којем је Линус идентификовао референце на репозиторијум који је садржао манипулисане commits-има његово име као аутора и потврдиоца, упркос томе што их сам није урадио. Један од најозбиљнијих примера био је постојање дупликата комита, идентичног садржаја као оригинал, али са другачијим SHA1 хешем, који је лажно укључивао потпис Линуса Торвалдса.
Ове промене није се могло приписати само случајној грешцитоком операције ребазирања гита, пошто су подразумевале масовне модификације осетљивих информација, укључујући преко 6.000 преписаних измена, од којих је 330 имало Линусово име као аутора.
Торвалдсова реакција: сумње на намерну манипулацију
Линус Торвалдс није крио своју забринутост и описао догађаје као потенцијално злонамерне:
„Једна или две преправке могу бити грешка. Али хиљаде њих, многе са мојим фалсификованим потписом, нису“, изјавио је.
С обзиром на обим промена и ризик по интегритет званичног стабла језгра, Торвалдс је питао Константина Рјабицева, администратор инфраструктуре kernel.org, qда блокира приступ Киса Кука док се ситуација не разјасни.
Као одговор, Киз Кук је објаснио да је недавно имао техничких проблема то је могло да изазове инцидент. Рекао је, Ваш SSD диск је имао грешке током копирања, што је проузроковало оштећење у неколико репозиторијума. Након ових грешака, покушао је да поврати стање свог репозиторијума користећи git rebase и разне алате за аутоматизацију.
Међутим, ове операције су извршене на критичним гранама, као што су for-next/hardening и for-linus/hardening, што је довело до случајне измене историје спремишта, укључујући промену ауторства commit-ова. Упркос његовом објашњењу, Линус је био скептичан.:
„Не разумем како је могло доћи до случајног претицања, а камоли са оволиким бројем измена.“
Прави кривац: git-filter-repo и b4 трејлери
У каснијој поруци, Киз Кук је идентификовао вероватни извор грешкекомбинована употреба два алата, git-filter-repo и b4 трејлери, који манипулишу историјом commit-а и трејлере (ознаке попут Signed-off-by:) у коммитовима.
Ова погрешна употреба од профита би изазвало аутоматско преписивање хиљада commit-ова, укључујући замену аутора подразумеваном вредношћу (у овом случају, Линус Торвалдс), а да Киз није приметио грешку у том тренуткуКонстантин Рјабицев, аутор алата b4, потврдио је ову теорију и тврдио да није било злонамерне намере са Кукове стране. У ствари, систем је већ генерисао упозорења која су игнорисана.
Након што је ситуација разјашњена, Киз Кук је враћен приступ kernel.org. Као превентивна мера, најављено је да ће алат б4 ће укључивати нову безбедносну проверу, Ово ће спречити модификацију commit-ова чије ауторство не одговара идентитету тренутног корисника од сада. Ово је намењено спречавању сличних грешака и заштити интегритета изворног кода језгра.
Кис се, са своје стране, обавезао да ће поново створити погођене гране. из појединачних закрпа и детаљно анализирати кораке који су довели до грешке. Иако Инцидент је погоршао односе унутар тима развој језгра, такође је истакао важност опрезног коришћења алата за преписивање историје, посебно у пројектима критичним као што је Линукс језгро.
Коначно, вреди поменути да овај инцидент између Линуса Торвалдса и Киса Кука служи као упозорење о опасностима манипулације историјом измена и да захваљујући брзој интервенцији од оних који су одговорни за kernel.org и транспарентност процеса, ситуација је стављена под контролу.
Коначно, ако сте заинтересовани да сазнате више о томе, можете погледати детаље у наставку линк