Linux Foundation Technical Council har offentliggjort en sammenfattende rapport, der undersøger en hændelse med forskere fra University of Minnesota, der involverer et forsøg på at skubbe patches ind i kernen, der indeholdt skjulte fejl, der førte til sårbarheder. Kerneudviklerne bekræftede den tidligere offentliggjorte information om, at ud af 5 patches, der blev udarbejdet under "Hypocrite Commits"-undersøgelsen, blev 4 patches med sårbarheder afvist øjeblikkeligt og på initiativ fra vedligeholderne og kom ikke ind i kernelageret. Én patch blev accepteret, men den korrigerede problemet korrekt og indeholdt ingen fejl.
De analyserede også 435 commits, der inkluderede patches indsendt af udviklere ved University of Minnesota, som ikke var relateret til eksperimentet, der promoverede skjulte sårbarheder. Siden 2018 har en gruppe forskere fra University of Minnesota været ret aktivt involveret i at rette fejl. Gentagen gennemgang afslørede ikke nogen ondsindet aktivitet i disse commits, men afslørede nogle utilsigtede fejl og mangler.
349 tilsagn blev anset for at være korrekte og forblev uændrede. Der blev fundet problemer i 39 commits, der kræver rettelse - disse commits blev annulleret og vil blive erstattet med mere korrekte rettelser før udgivelsen af kerne 5.13. Fejl i 25 commits blev rettet i efterfølgende ændringer. 12 commits var ikke længere relevante, fordi de påvirkede ældre systemer, der allerede var blevet fjernet fra kernen. En af de korrekte commits blev tilbageført efter anmodning fra forfatteren. 9 korrekte tilsagn blev sendt fra @umn.edu-adresser længe før dannelsen af den forskergruppe, der blev analyseret.
For at genoprette tilliden til holdet fra University of Minnesota og give mulighed for at deltage i udviklingen af kernen, har Linux Foundation fremsat en række krav, hvoraf de fleste allerede er blevet opfyldt. For eksempel har forskerne allerede trukket Hypocrite Commits-publikationen tilbage og annulleret deres præsentation på IEEE-symposiet, samt offentligt offentliggjort hele kronologien af begivenheder og givet detaljerede oplysninger om de ændringer, der blev indsendt under undersøgelsen.
Kilde: opennet.ru