Nhóm nghiên cứu của Đại học Minnesota đã giải thích động lực để thử nghiệm với nhân Linux

Một nhóm các nhà nghiên cứu từ Đại học Minnesota, người mà việc chấp nhận các thay đổi gần đây đã bị chặn bởi Greg Kroah-Hartman, đã đăng một bức thư ngỏ xin lỗi và giải thích lý do cho các hoạt động của họ.

Sự tắc nghẽn là do nhóm đang điều tra điểm yếu khi xem xét các bản vá lỗi sắp tớivà đánh giá khả năng đi đến cốt lõi của những thay đổi với các lỗ hổng ẩn. Sau khi nhận được một bản vá đáng ngờ từ một trong các thành viên trong nhóm với một bản sửa lỗi vô nghĩa, người ta cho rằng các nhà nghiên cứu đang cố gắng thử nghiệm lại các nhà phát triển hạt nhân một lần nữa.

Vì các thử nghiệm như vậy có khả năng gây ra rủi ro bảo mật và mất thời gian cho người cam kết, nên nó đã được quyết định chặn việc chấp nhận các thay đổi và gửi tất cả các bản vá đã được chấp nhận trước đó để xem xét.

Trong thư ngỏ của bạn, các thành viên trong nhóm nói rằng hoạt động của họ được thúc đẩy độc quyền với mục đích tốt và mong muốn cải thiện quy trình xem xét thay đổi xác định và loại bỏ điểm yếu.

Nhóm đã nghiên cứu các quy trình dẫn đến sự xuất hiện của các lỗ hổng trong nhiều năm và đang tích cực làm việc để xác định và loại bỏ các lỗ hổng trong nhân Linux. 190 bản vá được gửi để xem xét mới được cho là hợp pháp, khắc phục các sự cố hiện có và không chứa lỗi cố ý hoặc lỗ hổng ẩn.

Cuộc điều tra đáng báo động nhằm thúc đẩy các lỗ hổng ẩn đã được thực hiện vào tháng XNUMX năm ngoái và giới hạn bản thân nó trong việc gửi ba bản vá lỗi, không có bản vá lỗi nào được đưa vào cơ sở mã nhân.

Hoạt động liên quan đến các bản vá này chỉ được giới hạn trong thảo luận và việc quảng bá bản vá đã bị dừng lại ở một giai đoạn trước khi các thay đổi được thêm vào Git.

Mã của ba bản vá có vấn đề vẫn chưa được cung cấp, vì điều này sẽ tiết lộ khuôn mặt của những người đã thực hiện đánh giá ban đầu (thông tin sẽ được tiết lộ sau khi có sự đồng ý của các nhà phát triển không thừa nhận lỗi).

Nguồn chính của nghiên cứu không phải là các bản vá lỗi của chính chúng tôi, mà là phân tích các bản vá lỗi của người khác đã từng được thêm vào hạt nhân, do các lỗ hổng sau đó xuất hiện. Nhóm nghiên cứu của Đại học Minnesota không liên quan gì đến việc thêm các bản vá lỗi này.

Có tổng cộng 138 bản vá lỗi đưa ra vấn đề đã được nghiên cứu và vào thời điểm kết quả nghiên cứu được công bố, tất cả các lỗi liên quan đã được sửa, ngay cả khi có sự tham gia của nhóm nghiên cứu.

Các nhà nghiên cứu họ hối hận vì đã sử dụng một phương pháp không phù hợp để thực hiện thí nghiệm. Sai lầm là cuộc điều tra đã được thực hiện mà không được phép và không thông báo cho cộng đồng. Lý do cho hoạt động ẩn là mong muốn đạt được độ tinh khiết của thử nghiệm, vì thông báo có thể thu hút sự chú ý riêng đến các bản vá và đánh giá của chúng, không phải theo cách chung chung.

Trong khi mục tiêu là cải thiện bảo mật cơ bản, Các nhà nghiên cứu hiện nhận ra rằng việc sử dụng cộng đồng như một con chuột lang là sai và trái đạo đức. Đồng thời, các nhà nghiên cứu đảm bảo rằng họ sẽ không bao giờ cố ý gây hại cho cộng đồng và sẽ không cho phép đưa ra các lỗ hổng mới trong mã nhân đang hoạt động.

Đối với bản vá vô nghĩa từng là chất xúc tác cho sự cố, nó không liên quan đến nghiên cứu trước đó và có liên quan đến một dự án mới nhằm tạo ra các công cụ để phát hiện tự động các lỗi xuất hiện do thêm các bản vá khác.

Nhóm hiện đang cố gắng tìm cách để phát triển trở lại và dự định củng cố mối quan hệ của mình với Linux Foundation và cộng đồng nhà phát triển, chứng minh giá trị của mình trong việc cải thiện bảo mật hạt nhân và bày tỏ mong muốn làm việc chăm chỉ hơn vì lợi ích chung và lấy lại niềm tin. .

Greg Kroah-Hartman trả lời rằng hội đồng kỹ thuật của Quỹ Linux đã gửi một lá thư đến Đại học Minnesota vào thứ Sáu mô tả các hành động cụ thể cần thực hiện để khôi phục lòng tin trong nhóm. Cho đến khi hoàn thành các thao tác này thì vẫn chưa có gì phải bàn cãi.

Fuente: https://l25kml.org