Un grupo de investigadores da Universidade de Minnesota, cuxos cambios foron recentemente bloqueados por Greg Croah-Hartman, publicou unha carta aberta pedindo desculpas e explicando os motivos das súas actividades. Lembremos que o grupo estaba investigando as debilidades na revisión dos parches entrantes e avaliando a posibilidade de promover cambios con vulnerabilidades ocultas no núcleo. Despois de recibir un parche dubidoso cunha corrección sen sentido por parte dun dos membros do grupo, supouse que os investigadores estaban intentando de novo realizar experimentos cos desenvolvedores do núcleo. Dado que estes experimentos supoñen potencialmente unha ameaza para a seguridade e levan tempo aos comisarios, decidiuse bloquear a aceptación de cambios e enviar todos os parches aceptados anteriormente para a súa revisión.
Na súa carta aberta, o grupo manifestaba que as súas actividades estaban motivadas unicamente pola boa intención e o desexo de mellorar o proceso de revisión do cambio identificando e eliminando debilidades. O grupo leva moitos anos estudando os procesos que levan ás vulnerabilidades e traballa activamente para identificar e eliminar vulnerabilidades no núcleo de Linux. Dise que todos os 190 parches enviados para a súa revisión son lexítimos, solucionan os problemas existentes e non conteñen erros intencionados nin vulnerabilidades ocultas.
O alarmante estudo sobre a promoción de vulnerabilidades ocultas levouse a cabo o pasado agosto e limitouse a enviar tres parches de erros, ningún dos cales chegou á base de código do núcleo. A actividade relacionada con estes parches limitouse só á discusión e o progreso dos parches detívose na fase anterior a que se engadiran os cambios a Git. Aínda non se proporcionou o código para os tres parches problemáticos, xa que isto revelaría as identidades dos que realizaron a revisión inicial (a información revelarase despois de obter o consentimento dos desenvolvedores que non recoñeceron os erros).
A fonte principal da investigación non foron os nosos propios parches, senón a análise dos parches doutras persoas que se engadiron ao núcleo, polo que apareceron vulnerabilidades posteriormente. O equipo da Universidade de Minnesota non ten nada que ver coa adición destes parches. Estudáronse un total de 138 parches problemáticos que provocaron erros e, no momento en que se publicaron os resultados do estudo, todos os erros asociados foran corrixidos, incluso coa participación do equipo que realiza o estudo.
Os investigadores lamentan que usaran un método experimental inadecuado. O erro foi que o estudo se realizou sen obter permiso e sen avisar á comunidade. O motivo da actividade oculta foi o desexo de acadar a pureza do experimento, xa que a notificación podería atraer especial atención aos parches e á súa avaliación non de forma xeral. Aínda que o obxectivo non era mellorar a seguridade do núcleo, os investigadores agora déronse conta de que usar a comunidade como cobaia era inadecuado e pouco ético. Ao mesmo tempo, os investigadores aseguran que nunca prexudicarían intencionadamente á comunidade e non permitirían que se introduzan novas vulnerabilidades no código do núcleo de traballo.
En canto ao parche inútil que serviu de catalizador da prohibición, non está relacionado coa investigación anterior e está asociado a un novo proxecto destinado a crear ferramentas para a detección automatizada de erros que aparecen como consecuencia da incorporación doutros parches.
Actualmente, os membros do grupo están tentando atopar formas de volver ao desenvolvemento e pretenden reparar a súa relación coa Fundación Linux e a comunidade de desenvolvedores demostrando a súa utilidade para mellorar a seguridade do núcleo e expresando o seu desexo de traballar duro polo ben común e recuperar a confianza.
Fonte: opennet.ru