Un gruppu di circadori di l'Università di Minnesota, chì i cambiamenti sò stati recentemente bluccati da Greg Croah-Hartman, pubblicò una lettera aperta scusendu è spiegà i mutivi di e so attività. Ricurdemu chì u gruppu stava ricercà i punti debbuli in a rivisione di patches in entrata è evaluendu a pussibilità di prumove cambiamenti cù vulnerabili oculate à u kernel. Dopu avè ricivutu un patch dubbitu cù una correzione senza significatu da unu di i membri di u gruppu, era presumitu chì i circadori anu pruvatu di novu à fà esperimenti nantu à i sviluppatori di u kernel. Siccomu tali esperimenti ponu potenzialmente una minaccia di sicurezza è piglianu tempu da i committers, hè statu decisu di bluccà l'accettazione di i cambiamenti è di mandà tutti i patch accettati prima per a rivisione.
In a so lettera aperta, u gruppu hà dichjaratu chì e so attività sò state motivate solu da boni intenzioni è u desideriu di migliurà u prucessu di rivisione di cambiamentu identificendu è eliminendu i punti debuli. U gruppu hà studiatu i prucessi chì portanu à vulnerabilità per parechji anni è travaglia attivamente per identificà è eliminà e vulnerabilità in u kernel Linux. Tutti i patch 190 sottumessi per a rivisione si dicenu chì sò legittimi, risolve i prublemi esistenti, è ùn cuntenenu micca bug intenzionali o vulnerabilità nascosti.
U studiu allarmante nantu à a prumuzione di e vulnerabilità nascose hè statu realizatu in l'aostu di l'annu passatu è hè statu limitatu à sottumette trè bug patch, nimu di quale hà fattu in a basa di codice di u kernel. L'attività ligata à sti patches hè stata limitata à a discussione solu è u prugressu di i patches hè stata fermata in u stadiu prima chì i cambiamenti sò aghjuntu à Git. U codice per i trè patch problematiche ùn hè micca statu ancu furnitu, postu chì questu revelarà l'identità di quelli chì anu realizatu a rivisione iniziale (l'infurmazioni seranu divulgate dopu avè ottenutu accunsentu da i sviluppatori chì ùn anu micca ricunnisciutu l'errori).
A fonti principale di a ricerca ùn era micca i nostri patch, ma l'analisi di i patch di l'altri mai aghjustatu à u kernel, per via di quale e vulnerabilità sò sussegwente. A squadra di l'Università di Minnesota ùn hà nunda di fà cù l'aghjunzione di sti patches. Un totale di 138 patches problematiche chì anu purtatu à l'errori sò stati studiati, è quandu i risultati di l'studiu sò stati publicati, tutti l'errori assuciati sò stati curretti, cumpresu cù a participazione di a squadra chì conduce u studiu.
I circadori dispiace chì anu utilizatu un metudu sperimentale inappropriatu. L'errore hè chì u studiu hè statu realizatu senza ottene permessu è senza avvisà a cumunità. U mutivu di l'attività oculata era u desideriu di ottene a purità di l'esperimentu, postu chì a notificazione puderia attruverà una attenzione particulari à i parche è a so valutazione micca in una basa generale. Ancu s'ellu ùn era micca u scopu di migliurà a sicurità di u kernel, i circadori anu capitu chì l'utilizazione di a cumunità cum'è un porcu d'India era inappropriata è immorale. À u listessu tempu, i circadori assicuranu ch'elli ùn anu mai intenzionalmente dannu à a cumunità è ùn permettenu micca novi vulnerabilità per esse introdutte in u codice di u kernel di travagliu.
In quantu à u patch inutile chì hà servitu cum'è u catalizatore per a prohibizione, ùn hè micca ligatu cù a ricerca precedente è hè assuciatu cù un novu prughjettu destinatu à creà strumenti per a deteczione automatizata di l'errori chì appariscenu cum'è u risultatu di l'aghjunzione di altri parche.
I membri di u gruppu attualmente cercanu di truvà modi per vultà à u sviluppu è intendenu à riparare a so relazione cù a Fundazione Linux è a cumunità di sviluppatori, pruvendu a so utilità per migliurà a sicurità di u kernel è esprimendu u desideriu di travaglià dura per u bè cumunu è ricuperà a fiducia.
Source: opennet.ru