Μια ομάδα ερευνητών από το Πανεπιστήμιο της Μινεσότα, των οποίων οι αλλαγές μπλοκαρίστηκαν πρόσφατα από τον Greg Croah-Hartman, δημοσίευσαν μια ανοιχτή επιστολή ζητώντας συγγνώμη και εξηγώντας τα κίνητρα των δραστηριοτήτων τους. Ας υπενθυμίσουμε ότι η ομάδα ερευνούσε αδυναμίες στην ανασκόπηση των εισερχόμενων ενημερώσεων κώδικα και αξιολογούσε τη δυνατότητα προώθησης αλλαγών με κρυφά τρωτά σημεία στον πυρήνα. Μετά τη λήψη μιας αμφίβολης ενημέρωσης κώδικα με μια ανούσια επιδιόρθωση από ένα από τα μέλη της ομάδας, υποτέθηκε ότι οι ερευνητές προσπαθούσαν και πάλι να πραγματοποιήσουν πειράματα στους προγραμματιστές του πυρήνα. Δεδομένου ότι τέτοια πειράματα δυνητικά αποτελούν απειλή για την ασφάλεια και απαιτούν χρόνο από τους committers, αποφασίστηκε να αποκλειστεί η αποδοχή των αλλαγών και να σταλούν όλα τα προηγουμένως αποδεκτά patches για επανεξέταση.
Στην ανοιχτή επιστολή της, η ομάδα δήλωσε ότι οι δραστηριότητές τους υποκινούνταν αποκλειστικά από καλές προθέσεις και την επιθυμία να βελτιώσουν τη διαδικασία αναθεώρησης των αλλαγών εντοπίζοντας και εξαλείφοντας τις αδυναμίες. Η ομάδα μελετά τις διαδικασίες που οδηγούν σε τρωτά σημεία για πολλά χρόνια και εργάζεται ενεργά για τον εντοπισμό και την εξάλειψη των τρωτών σημείων στον πυρήνα του Linux. Και οι 190 ενημερώσεις κώδικα που υποβλήθηκαν για επανεξέταση λέγεται ότι είναι νόμιμες, επιδιορθώνουν υπάρχοντα προβλήματα και δεν περιέχουν σκόπιμα σφάλματα ή κρυφές ευπάθειες.
Η ανησυχητική μελέτη για την προώθηση κρυφών τρωτών σημείων διεξήχθη τον περασμένο Αύγουστο και περιορίστηκε στην υποβολή τριών ενημερώσεων κώδικα σφαλμάτων, κανένα από τα οποία δεν μπήκε στη βάση κώδικα του πυρήνα. Η δραστηριότητα που σχετίζεται με αυτές τις ενημερώσεις κώδικα περιορίστηκε μόνο στη συζήτηση και η πρόοδος των ενημερώσεων κώδικα σταμάτησε στο στάδιο πριν προστεθούν οι αλλαγές στο Git. Ο κώδικας για τις τρεις προβληματικές ενημερώσεις κώδικα δεν έχει δοθεί ακόμη, καθώς αυτό θα αποκάλυπτε την ταυτότητα όσων πραγματοποίησαν την αρχική αναθεώρηση (οι πληροφορίες θα αποκαλυφθούν αφού ληφθεί η συγκατάθεση από προγραμματιστές που δεν αναγνώρισαν τα σφάλματα).
Η κύρια πηγή της έρευνας δεν ήταν τα δικά μας patches, αλλά η ανάλυση των ενημερώσεων κώδικα άλλων ανθρώπων που προστέθηκαν ποτέ στον πυρήνα, λόγω των οποίων εμφανίστηκαν στη συνέχεια ευπάθειες. Η ομάδα του Πανεπιστημίου της Μινεσότα δεν έχει καμία σχέση με την προσθήκη αυτών των patches. Μελετήθηκαν συνολικά 138 προβληματικές ενημερώσεις κώδικα που οδήγησαν σε σφάλματα και μέχρι τη δημοσίευση των αποτελεσμάτων της μελέτης, όλα τα σχετικά σφάλματα είχαν διορθωθεί, μεταξύ άλλων με τη συμμετοχή της ομάδας που διεξήγαγε τη μελέτη.
Οι ερευνητές λυπούνται που χρησιμοποίησαν μια ακατάλληλη πειραματική μέθοδο. Το λάθος ήταν ότι η μελέτη διεξήχθη χωρίς να λάβει άδεια και χωρίς να ειδοποιηθεί η κοινότητα. Το κίνητρο για την κρυφή δραστηριότητα ήταν η επιθυμία να επιτευχθεί η καθαρότητα του πειράματος, καθώς η ειδοποίηση θα μπορούσε να προσελκύσει ιδιαίτερη προσοχή στα patches και στην αξιολόγησή τους όχι σε γενική βάση. Αν και ο στόχος δεν ήταν να βελτιωθεί η ασφάλεια του πυρήνα, οι ερευνητές συνειδητοποίησαν τώρα ότι η χρήση της κοινότητας ως πειραματόζωο ήταν ακατάλληλη και ανήθικη. Ταυτόχρονα, οι ερευνητές διαβεβαιώνουν ότι ποτέ δεν θα βλάψουν σκόπιμα την κοινότητα και δεν θα επέτρεπαν την εισαγωγή νέων τρωτών σημείων στον κώδικα του πυρήνα εργασίας.
Όσον αφορά το άσκοπο patch που χρησίμευσε ως καταλύτης για την απαγόρευση, δεν σχετίζεται με την προηγούμενη έρευνα και σχετίζεται με ένα νέο έργο που στοχεύει στη δημιουργία εργαλείων για αυτοματοποιημένο εντοπισμό σφαλμάτων που εμφανίζονται ως αποτέλεσμα της προσθήκης άλλων ενημερώσεων κώδικα.
Τα μέλη της ομάδας προσπαθούν επί του παρόντος να βρουν τρόπους να επιστρέψουν στην ανάπτυξη και σκοπεύουν να βελτιώσουν τη σχέση τους με το Linux Foundation και την κοινότητα προγραμματιστών αποδεικνύοντας τη χρησιμότητά τους στη βελτίωση της ασφάλειας του πυρήνα και εκφράζοντας την επιθυμία να εργαστούν σκληρά για το κοινό καλό και να ανακτήσουν την εμπιστοσύνη.
Πηγή: opennet.ru