Skupina výskumníkov z Minnesotskej univerzity, ktorej odoslané commity nedávno zablokoval Greg Kroah-Hartman, zverejnila otvorený list, v ktorom sa ospravedlňuje a vysvetľuje svoje motívy. Skupina skúmala slabé stránky v procese kontroly prichádzajúcich záplat a posudzovala uskutočniteľnosť zavádzania zmien obsahujúcich skryté zraniteľnosti do jadra. Po tom, čo jeden z členov skupiny predložil pochybnú záplatu obsahujúcu nezmyselnú opravu, sa objavili návrhy, že výskumníci sa opäť pokúšajú vykonávať experimenty na vývojároch jadra. Keďže takéto experimenty potenciálne predstavujú bezpečnostné riziko a mrhajú časom commitérov, bolo rozhodnuté zablokovať odoslané commity a všetky predtým prijaté záplaty poslať späť na kontrolu.
Vo svojom otvorenom liste členovia skupiny uviedli, že ich aktivity boli motivované výlučne dobrými úmyslami a túžbou zlepšiť proces kontroly zmien identifikáciou a riešením zraniteľností. Skupina už mnoho rokov študuje procesy, ktoré vedú k zraniteľnostiam, a aktívne pracuje na identifikácii a riešení zraniteľností v jadre. LinuxVšetkých 190 záplat odoslaných na opätovné posúdenie je údajne legitímnych, opravujú existujúce problémy a neobsahujú žiadne úmyselné chyby ani skryté zraniteľnosti.
Kontroverzná štúdia o propagácii skrytých zraniteľností bola vykonaná v auguste minulého roka a viedla k trom záplatám obsahujúcim chyby, z ktorých žiadna sa nedostala do kódovej základne jadra. Aktivity súvisiace s týmito záplatami sa obmedzili na diskusiu a propagácia záplat bola zastavená predtým, ako boli zmeny zlúčené do Gitu. Kód troch problematických záplat zatiaľ nebol zverejnený, pretože by to odhalilo identitu tých, ktorí vykonali počiatočnú kontrolu (informácie budú zverejnené po získaní súhlasu od vývojárov, ktorí chyby nerozpoznali).
Primárnym zdrojom štúdie neboli jej vlastné záplaty, ale analýza predtým pridaných záplat jadra, ktoré následne odhalili zraniteľnosti. Tím z Minnesotskej univerzity sa na pridávaní týchto záplat nepodieľa. Analyzovaných bolo celkovo 138 problematických záplat, ktoré priniesli chyby, a do času zverejnenia výsledkov štúdie boli všetky súvisiace chyby opravené, a to aj za účasti tímu, ktorý štúdiu vykonával.
Výskumníci ľutujú, že použili nevhodnú experimentálnu metódu. Chybou bolo, že štúdia bola vykonaná bez povolenia alebo oznámenia komunite. Motívom tejto tajnej aktivity bolo zabezpečiť integritu experimentu, pretože oznámenie mohlo upriamiť osobitnú pozornosť na záplaty a ich hodnotenie nad rámec všeobecných kritérií. Hoci cieľom bolo zlepšiť bezpečnosť jadra, výskumníci si teraz uvedomujú, že používanie komunity ako pokusného králika bolo nevhodné a neetické. Výskumníci však uisťujú, že by nikdy úmyselne nepoškodili komunitu ani by nedovolili, aby sa do funkčného kódu jadra zaviedli nové zraniteľnosti.
Čo sa týka zbytočnej záplaty, ktorá spustila blokovanie, tá nesúvisí s predchádzajúcou štúdiou a je spojená s novým projektom zameraným na vytvorenie nástrojov na automatickú identifikáciu chýb zavedených inými záplatami.
Členovia skupiny sa teraz snažia nájsť spôsoby, ako sa vrátiť k účasti na rozvoji a majú v úmysle zlepšiť svoje vzťahy s... Linux Nadácia a komunita vývojárov, ktorí preukázali svoju užitočnosť pri zlepšovaní bezpečnosti jadra a vyjadrili túžbu tvrdo pracovať pre spoločné dobro a obnovenie dôvery.
Zdroj: opennet.ru
