O Consello Técnico da Fundación Linux publicou un informe resumo que examina un incidente con investigadores da Universidade de Minnesota que implicaba un intento de introducir parches no núcleo que contiñan erros ocultos que provocaban vulnerabilidades. Os desenvolvedores do núcleo confirmaron a información publicada anteriormente de que dos 5 parches preparados durante o estudo "Hypocrite Commits", 4 parches con vulnerabilidades foron rexeitados inmediatamente e por iniciativa dos mantedores e non chegaron ao repositorio do núcleo. Aceptouse un parche, pero corrixiu o problema correctamente e non contiña ningún erro.
Tamén analizaron 435 commits que incluían parches enviados por desenvolvedores da Universidade de Minnesota que non estaban relacionados co experimento que promovía vulnerabilidades ocultas. Desde 2018, un grupo de investigadores da Universidade de Minnesota participou activamente na corrección de erros. A revisión repetida non revelou ningunha actividade maliciosa nestes compromisos, pero si revelou algúns erros e deficiencias non intencionados.
Consideráronse 349 commits correctos e non se modificaron. Atopáronse problemas en 39 commits que requiren corrección; estes commits foron cancelados e substituiranse por correccións máis correctas antes do lanzamento do núcleo 5.13. Os erros en 25 commits foron corrixidos en cambios posteriores. 12 commits xa non eran relevantes porque afectaban a sistemas legados que xa foran eliminados do núcleo. Un dos commits correctos foi revertido a petición do autor. Enviáronse 9 commits correctos desde os enderezos @umn.edu moito antes da formación do grupo de investigación que se está a analizar.
Para recuperar a confianza no equipo da Universidade de Minnesota e devolverlle a oportunidade de participar no desenvolvemento do núcleo, a Fundación Linux presentou unha serie de demandas, a maioría das cales xa foron atendidas. Por exemplo, os investigadores xa se retractaron da publicación de Hypocrite Commits e cancelaron a súa presentación no Simposio IEEE, ademais de divulgar publicamente toda a cronoloxía dos eventos e proporcionar información detallada sobre os cambios presentados durante o estudo.
Fonte: opennet.ru