26.04: команда університету вибачилась перед спільнотою Linux за такі методи дослідження. У відкритому листі автори пояснюють, що хотіли в такий спосіб покращити безпеку ядра і насправді було лише три патча з помилками, жоден з яких не потрапив у кодову базу Linux. Зазначається, що в тих патчах, які Кроа-Гартман наказав знову перевірити, немає багів, які додали навмисно.
Про своє дослідження команда не розповідала заради чистоти експерименту, але розуміє, що це було неетично.
Тим часом Кроа-Гартман заблокував будь-які зміни в ядрі від Університету Міннесоти. Він надіслав листа з переліком вимог, які університет має виконати, щоб повернути довіру і знову брати участь в розробці ядра.
22.04: Ґреґ Кроа-Гартман заборонив дослідникам з Міннесотського університету брати участь у розробці ядра Linux. Патчі, надіслані звідти, будуть повторно рецензуватись.
Виявилось, що розробники з цього університету хотіли навмисно додати у ядро патчі з багами й проблемами безпеки. В такий спосіб вони вивчали, як можна приховано додати вразливості у проєкти з відкритим кодом (текст цього дослідження опублікований на GitHub).
Кроа-Гартман заявив, що ядро Linux — це не місце для таких експериментів і розробникам тут вистачає справжньої роботи.
https://twitter.com/gregkh/status/1384785747874656257">
190 патчів від Міннесотського університету вже відкотили. Проблема в тому, що ця група розробників займалась і справжнім виправленням вразливостей — тож усі патчі потрібно переглядати, бо деякі з них дійсно потрібні.
Самі ж автори роботи кажуть, що помилки не доходили до коду ядра, бо дослідники їх виправляли до етапу Git-комітів (якщо мейнтейнери не помічали проблему раніше).
Зараз триває перевірка патчів і в деяких з них вже знайшлись помилки. В Університеті Міннесоти заявили, що зупинять це дослідження і проведуть розслідування.
Ще немає коментарів