Před několika dny se to vědělo dva členové University of Minnesota záměrně opravovali jádro Linuxu s bezpečnostními problémy Toto byla součást výzkumného projektu, který neschválil ani Linus Torvalds, ani Linux Foundation. Když tedy zjistil, co dělají, Greg Kroah-Hartman, prestižní vývojář odpovědný za údržbu linuxového jádra pro stabilní pobočku, reagoval tak, že zakázal nejen jim, ale i jakýmkoli vývojářům připojeným k UMN, aby i nadále přispívali.
Okamžitě poradní sbor pro Linux Foundation, složený z hlavních vývojářů, spolu s dalšími dobrovolnými spolupracovníky s prokázanou odpovědností.a začali posuzovat škodu, Y už komunikovali výsledek.
Skvrny sváru
Bylo zjištěno, že z celkem 435 příspěvků členů univerzity drtivá většina byla v pořádku Ze zbývajících 39 mělo chyby a bylo třeba je opravit; 25 již bylo opraveno, 12 již bylo zastaralých; 9 bylo provedeno dříve, než výzkumná skupina existovala, a jedna byla na žádost jejího autora vyřazena.
Osoby odpovědné za škodlivé příspěvky používaly dvě falešné identitys, což je v rozporu se zdokumentovanými požadavky na přispívání kódu do linuxového jádra. To by nemohlo být provedeno bez institucionální spolupráce, protože univerzita bezpochyby přijala „Developer Certificate of Origin“, právní prohlášení o předkládané práci.
Na rozdíl od toho, co pachatelé, vyšetřovatelé, Qiushi Wu a Aditya Pakki, a jejich postgraduální poradce, Kangjie Lu, odborný asistent na katedře výpočetní techniky a inženýrství na UMN, uvedli z poradního výborurozhodl, že všechna úmyslně chybná odeslání oprav byla opravena nebo ignorována, vývojáři a správci linuxového jádra. Závěr byl takový, že revizní projekty fungovaly dobře.
Ve skutečnosti, zákaz na University of Minnesota nemusí být trvalý. Vše podléhá instituci:
… Určete skupinu zkušených interních vývojářů, kteří budou kontrolovat a poskytovat zpětnou vazbu o navrhovaných změnách jádra dříve, než budou tyto změny veřejně vydány. Tato oprava hotfix zachytí zjevné chyby a zbaví komunitu nutnosti opakovaně připomínat vývojářům některé základní postupy, jako je dodržování standardů kódování a rozsáhlé testování oprav. Výsledkem je kvalitnější proud oprav, který bude mít v komunitě jádra menší problémy.
Zločin se nevyplácí
Vědci nebudou mít prospěch z výsledků svého výzkumu. Papír, který přednesli na bezpečnostním sympoziu, byl přijat. Ale předpokládám, že pod tlakem komunity to stáhli samotní autoři, kteří argumentovali:
Nejprve jsme udělali chybu, že jsme před provedením naší studie nezapojili do spolupráce s komunitou jádra Linuxu. Nyní chápeme, že pro komunitu bylo nevhodné a zraňující, aby se stala předmětem našeho výzkumu a ztrácela své úsilí přezkoumáváním těchto oprav bez jejich vědomí a svolení. Místo toho si nyní uvědomujeme, že správným způsobem, jak dělat tento druh práce, je předem spolupracovat s vedoucími komunit, aby si byli vědomi práce, schvalovali její cíle a metody a mohli podporovat metody a výsledky, jakmile je práce dokončena. dokončeno a zveřejněno. Proto dokument stahujeme, abychom neměli prospěch z nesprávně provedené studie.
Za druhé, vzhledem k nedostatkům v našich metodách nechceme, aby tato práce stála jako model toho, jak lze v této komunitě provádět výzkum. Spíše doufáme, že tato epizoda bude pro naši komunitu okamžikem učení a že výsledná diskuse a doporučení mohou v budoucnu posloužit jako vodítko pro správné vyšetřování.
Ani se nezdá, že výzkum je velmi dobrý. University of Minnesota ve snaze reagovat na žádost Linux Foundation o zprávy,Zjistilo se, že proces vytváření opravných aktualizací nebyl příliš dobře zdokumentován.
Kdybych měl dítě, neposlal bych ho studovat na UM