قامت مجموعة من الباحثين من جامعة مينيسوتا، الذين تم حظر تغييراتهم مؤخرًا من قبل جريج كرواه-هارتمان، بنشر رسالة مفتوحة يعتذرون فيها ويشرحون دوافع أنشطتهم. دعونا نتذكر أن المجموعة كانت تبحث عن نقاط الضعف في مراجعة التصحيحات الواردة وتقييم إمكانية تعزيز التغييرات مع نقاط الضعف المخفية للنواة. بعد تلقي تصحيح مشكوك فيه بإصلاح لا معنى له من أحد أعضاء المجموعة، كان من المفترض أن الباحثين كانوا يحاولون مرة أخرى إجراء تجارب على مطوري النواة. نظرًا لأن مثل هذه التجارب من المحتمل أن تشكل تهديدًا أمنيًا وتستغرق وقتًا من الملتزمين، فقد تقرر منع قبول التغييرات وإرسال جميع التصحيحات المقبولة مسبقًا لإعادة مراجعتها.
وفي رسالتهم المفتوحة، ذكرت المجموعة أن أنشطتها كانت مدفوعة فقط بالنوايا الحسنة والرغبة في تحسين عملية مراجعة التغيير من خلال تحديد نقاط الضعف والقضاء عليها. قامت المجموعة بدراسة العمليات التي تؤدي إلى وجود ثغرات أمنية لسنوات عديدة وتعمل بنشاط على تحديد نقاط الضعف في Linux kernel والقضاء عليها. يُقال إن جميع التصحيحات الـ 190 المقدمة لإعادة المراجعة شرعية، وتصلح المشكلات الحالية، ولا تحتوي على أخطاء متعمدة أو نقاط ضعف مخفية.
تم إجراء الدراسة المثيرة للقلق حول تعزيز الثغرات الأمنية المخفية في أغسطس من العام الماضي واقتصرت على تقديم ثلاث تصحيحات للأخطاء، لم يصل أي منها إلى قاعدة تعليمات kernel. كان النشاط المتعلق بهذه التصحيحات مقتصرًا على المناقشة فقط وتم إيقاف تقدم التصحيحات في المرحلة التي سبقت إضافة التغييرات إلى Git. لم يتم بعد توفير رمز التصحيحات الثلاث الإشكالية، لأن هذا من شأنه أن يكشف عن هويات أولئك الذين أجروا المراجعة الأولية (سيتم الكشف عن المعلومات بعد الحصول على موافقة المطورين الذين لم يتعرفوا على الأخطاء).
لم يكن المصدر الرئيسي للبحث هو التصحيحات الخاصة بنا، ولكن تحليل تصحيحات الأشخاص الآخرين التي تمت إضافتها إلى النواة، مما أدى إلى ظهور نقاط الضعف لاحقًا. ليس لفريق جامعة مينيسوتا أي علاقة بإضافة هذه التصحيحات. وتمت دراسة إجمالي 138 تصحيحًا إشكاليًا أدى إلى حدوث أخطاء، وبحلول وقت نشر نتائج الدراسة، تم تصحيح جميع الأخطاء المرتبطة بها، بما في ذلك بمشاركة الفريق القائم على الدراسة.
ويأسف الباحثون لاستخدامهم طريقة تجريبية غير مناسبة. وكان الخطأ هو أن الدراسة أجريت دون الحصول على إذن ودون إخطار المجتمع. كان الدافع وراء النشاط الخفي هو الرغبة في تحقيق نقاء التجربة، حيث أن الإخطار قد يجذب اهتمامًا خاصًا بالتصحيحات وتقييمها ليس على أساس عام. على الرغم من أن الهدف لم يكن تحسين أمان النواة، إلا أن الباحثين أدركوا الآن أن استخدام المجتمع كفئران تجارب كان غير مناسب وغير أخلاقي. في الوقت نفسه، يؤكد الباحثون أنهم لن يضروا المجتمع عمدًا ولن يسمحوا بإدخال نقاط ضعف جديدة في كود النواة العامل.
أما التصحيح الذي لا طائل منه والذي كان بمثابة المحفز للحظر، فهو لا علاقة له بالبحث السابق ويرتبط بمشروع جديد يهدف إلى إنشاء أدوات للكشف الآلي عن الأخطاء التي تظهر نتيجة إضافة تصحيحات أخرى.
يحاول أعضاء المجموعة حاليًا إيجاد طرق للعودة إلى التطوير ويعتزمون إصلاح علاقتهم مع مؤسسة Linux ومجتمع المطورين من خلال إثبات فائدتهم في تحسين أمان kernel والتعبير عن الرغبة في العمل الجاد من أجل الصالح العام واستعادة الثقة.
المصدر: opennet.ru