Patches of Discord. Co našel technický poradní sbor

Patches of Discord

Před několika dny se to vědělo dva členové University of Minnesota záměrně opravovali jádro Linuxu s bezpečnostními problémy Toto byla součást výzkumného projektu, který neschválil ani Linus Torvalds, ani Linux Foundation. Když tedy zjistil, co dělají, Greg Kroah-Hartman, prestižní vývojář odpovědný za údržbu linuxového jádra pro stabilní pobočku, reagoval tak, že zakázal nejen jim, ale i jakýmkoli vývojářům připojeným k UMN, aby i nadále přispívali.

Okamžitě poradní sbor pro Linux Foundation, složený z hlavních vývojářů, spolu s dalšími dobrovolnými spolupracovníky s prokázanou odpovědností.a začali posuzovat škodu, Y už komunikovali výsledek.

Skvrny sváru

Bylo zjištěno, že z celkem 435 příspěvků členů univerzity drtivá většina byla v pořádku Ze zbývajících 39 mělo chyby a bylo třeba je opravit; 25 již bylo opraveno, 12 již bylo zastaralých; 9 bylo provedeno dříve, než výzkumná skupina existovala, a jedna byla na žádost jejího autora vyřazena.

Osoby odpovědné za škodlivé příspěvky používaly dvě falešné identitys, což je v rozporu se zdokumentovanými požadavky na přispívání kódu do linuxového jádra. To by nemohlo být provedeno bez institucionální spolupráce, protože univerzita bezpochyby přijala „Developer Certificate of Origin“, právní prohlášení o předkládané práci.

Na rozdíl od toho, co pachatelé, vyšetřovatelé, Qiushi Wu a Aditya Pakki, a jejich postgraduální poradce, Kangjie Lu, odborný asistent na katedře výpočetní techniky a inženýrství na UMN, uvedli z poradního výborurozhodl, že všechna úmyslně chybná odeslání oprav byla opravena nebo ignorována, vývojáři a správci linuxového jádra. Závěr byl takový, že revizní projekty fungovaly dobře.
Ve skutečnosti, zákaz na University of Minnesota nemusí být trvalý. Vše podléhá instituci:

… Určete skupinu zkušených interních vývojářů, kteří budou kontrolovat a poskytovat zpětnou vazbu o navrhovaných změnách jádra dříve, než budou tyto změny veřejně vydány. Tato oprava hotfix zachytí zjevné chyby a zbaví komunitu nutnosti opakovaně připomínat vývojářům některé základní postupy, jako je dodržování standardů kódování a rozsáhlé testování oprav. Výsledkem je kvalitnější proud oprav, který bude mít v komunitě jádra menší problémy.

Zločin se nevyplácí

Vědci nebudou mít prospěch z výsledků svého výzkumu. Papír, který přednesli na bezpečnostním sympoziu, byl přijat. Ale předpokládám, že pod tlakem komunity to stáhli samotní autoři, kteří argumentovali:

Nejprve jsme udělali chybu, že jsme před provedením naší studie nezapojili do spolupráce s komunitou jádra Linuxu. Nyní chápeme, že pro komunitu bylo nevhodné a zraňující, aby se stala předmětem našeho výzkumu a ztrácela své úsilí přezkoumáváním těchto oprav bez jejich vědomí a svolení. Místo toho si nyní uvědomujeme, že správným způsobem, jak dělat tento druh práce, je předem spolupracovat s vedoucími komunit, aby si byli vědomi práce, schvalovali její cíle a metody a mohli podporovat metody a výsledky, jakmile je práce dokončena. dokončeno a zveřejněno. Proto dokument stahujeme, abychom neměli prospěch z nesprávně provedené studie.

Za druhé, vzhledem k nedostatkům v našich metodách nechceme, aby tato práce stála jako model toho, jak lze v této komunitě provádět výzkum. Spíše doufáme, že tato epizoda bude pro naši komunitu okamžikem učení a že výsledná diskuse a doporučení mohou v budoucnu posloužit jako vodítko pro správné vyšetřování.

Ani se nezdá, že výzkum je velmi dobrý. University of Minnesota ve snaze reagovat na žádost Linux Foundation o zprávy,Zjistilo se, že proces vytváření opravných aktualizací nebyl příliš dobře zdokumentován.

Kdybych měl dítě, neposlal bych ho studovat na UM


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.