Група дослідників з Університету Міннесоти, чиє прийняття змін нещодавно заблокував Грег Кроах-Хартман, опублікував відкритий лист із вибаченнями та пояснює причини їх діяльності.
Завал відбувся через група розслідувала слабкі місця при перегляді вхідних латокs та оцінити можливість переходу до суті змін із прихованими вразливими місцями. Отримавши сумнівний патч від одного з членів групи з безглуздим виправленням, передбачалося, що дослідники знову намагаються експериментувати з розробниками ядра.
Оскільки такі експерименти потенційно створюють ризик для безпеки та вимагають часу для учасників, було вирішено заблокувати прийняття змін та подати всі раніше прийняті виправлення на перевірку.
У вашому відкритому листі члени групи заявили, що їх діяльність мотивована виключно через добрі наміри та бажання вдосконалити процес розгляду змін, що визначають та усувають слабкі місця.
Група вже багато років вивчає процеси, що призводять до появи вразливостей, і активно працює над виявленням та усуненням вразливостей у ядрі Linux. 190 виправлень, поданих на новий огляд, вважаються легітимними, виправляють існуючі проблеми та не містять навмисних помилок або прихованих вразливостей.
Тривожне розслідування з метою приховування вразливих місць було проведено в серпні минулого року і обмежилось поданням трьох виправлень помилок, жоден з яких не потрапив до кодової бази ядра.
Діяльність, пов’язана з цими патчами, обмежувалася лише обговоренням, а просування патчів було зупинено на одному етапі до того, як зміни були додані до Git.
Код для трьох проблемних виправлень ще не надано, оскільки це відкриє обличчя тих, хто провів первинний огляд (інформація буде розкрита після отримання згоди розробників, які не визнали помилки).
Основним джерелом досліджень були не наші власні виправлення, а аналіз чужих виправлень, які колись були додані до ядра через вразливості, що виникали згодом. Команда Університету Міннесоти не має нічого спільного з додаванням цих патчів.
Було вивчено 138 латок проблем, що видають помилки, і до моменту публікації результатів дослідження всі пов'язані з ними помилки були виправлені, навіть за участю дослідницької групи.
Слідчі вони шкодують, що застосували невідповідний метод для проведення експерименту. Помилка полягала в тому, що розслідування проводилось без дозволу та без повідомлення громади. Причиною прихованої активності було бажання досягти чистоти експерименту, оскільки повідомлення могло привернути увагу окремо до патчів та їх оцінки, а не загалом.
Si Bien метою було покращити базову безпеку, Тепер дослідники зрозуміли, що використовувати громаду як морську свинку було неправильно та неетично. У той же час дослідники запевняють, що вони ніколи навмисно не завдадуть шкоди спільноті і не дозволять вводити нові вразливості в робочий код ядра.
Що стосується безглуздого патча, який послужив каталізатором аварії, він не пов’язаний з попередніми дослідженнями і пов’язаний з новим проектом, спрямованим на створення інструментів для автоматизованого виявлення помилок, які з’являються в результаті додавання інших патчів.
Зараз група намагається знайти способи повернутися до розробки і має намір зав'язати свої стосунки з Linux Foundation та спільнотою розробників, доводячи свою цінність у поліпшенні безпеки ядра та висловлюючи бажання працювати більше на краще. .
На це відповів Грег Кроах-Хартман технічна рада Фонд Linux надіслав лист в п’ятницю до університету Міннесоти опис конкретних дій для відновлення довіри до групи. Поки ці дії не завершені, поки що нічого обговорювати.
Фуенте: https://l25kml.org
Мені звучить так:
Давай, ми знаємо, що ти нас спіймав. Але блін, що цього хотілося! Чи можете ви дозволити нам поставити ще 20 заплаток, які ми підготували? "
У цих людей багато голів.
Політично коректне виправдання, але ... більше не крадеться.