Skupina raziskovalcev z Univerze v Minnesoti, katerih spremembe je nedavno blokiral Greg Croah-Hartman, je objavila odprto pismo, v katerem se opravičuje in pojasnjuje motive za svoje delovanje. Naj spomnimo, da je skupina raziskovala slabosti pri pregledu prihajajočih popravkov in ocenjevala možnost spodbujanja sprememb s skritimi ranljivostmi jedra. Po prejemu dvomljivega popravka z nesmiselnim popravkom od enega od članov skupine se je domnevalo, da raziskovalci znova poskušajo izvajati poskuse na razvijalcih jedra. Ker takšni poskusi potencialno predstavljajo varnostno grožnjo in jemljejo čas izvajalcem, je bilo odločeno, da se blokira sprejemanje sprememb in pošljejo vsi predhodno sprejeti popravki v ponoven pregled.
Skupina je v odprtem pismu navedla, da so bile njihove aktivnosti motivirane izključno z dobrimi nameni in željo po izboljšanju procesa pregleda sprememb s prepoznavanjem in odpravljanjem slabosti. Skupina že vrsto let preučuje procese, ki vodijo do ranljivosti, in si aktivno prizadeva za odkrivanje in odpravo ranljivosti v jedru Linuxa. Vseh 190 popravkov, predloženih v ponovni pregled, naj bi bilo legitimnih, odpravljajo obstoječe težave in ne vsebujejo namernih napak ali skritih ranljivosti.
Zaskrbljujoča študija o spodbujanju skritih ranljivosti je bila izvedena avgusta lani in je bila omejena na predložitev treh popravkov napak, od katerih nobeden ni prišel v kodno zbirko jedra. Dejavnost v zvezi s temi popravki je bila omejena samo na razpravo in napredek popravkov je bil ustavljen na stopnji, preden so bile spremembe dodane v Git. Koda za tri problematične popravke še ni bila posredovana, saj bi to razkrilo identiteto tistih, ki so opravili začetni pregled (informacije bodo razkrite po pridobitvi soglasja razvijalcev, ki niso prepoznali napak).
Glavni vir raziskave niso bili lastni popravki, temveč analiza popravkov drugih ljudi, ki so bili kdaj dodani v jedro, zaradi česar so se kasneje pojavile ranljivosti. Ekipa Univerze v Minnesoti nima nič opraviti z dodajanjem teh popravkov. Proučenih je bilo skupno 138 problematičnih popravkov, ki so povzročili napake, in do objave rezultatov študije so bile vse povezane napake odpravljene, tudi s sodelovanjem ekipe, ki je izvajala študijo.
Raziskovalci obžalujejo, da so uporabili neustrezno eksperimentalno metodo. Napaka je bila, da je bila študija izvedena brez pridobitve dovoljenja in brez obvestila skupnosti. Motiv za skrito aktivnost je bila želja po doseganju čistosti eksperimenta, saj bi obvestilo lahko pritegnilo posebno pozornost na popravke in njihovo oceno ne na splošni podlagi. Čeprav cilj ni bil izboljšanje varnosti jedra, so raziskovalci zdaj ugotovili, da je uporaba skupnosti kot poskusnega zajčka neprimerna in neetična. Hkrati raziskovalci zagotavljajo, da ne bi nikoli namerno škodovali skupnosti in ne bi dovolili vnosa novih ranljivosti v delujočo kodo jedra.
Kar zadeva nesmiselni popravek, ki je služil kot katalizator prepovedi, ni povezan s prejšnjimi raziskavami in je povezan z novim projektom, namenjenim izdelavi orodij za samodejno odkrivanje napak, ki se pojavijo kot posledica dodajanja drugih popravkov.
Člani skupine trenutno poskušajo najti načine za vrnitev k razvoju in nameravajo popraviti svoj odnos z Linux Foundation in skupnostjo razvijalcev tako, da dokažejo svojo uporabnost pri izboljšanju varnosti jedra in izrazijo željo, da bi trdo delali za skupno dobro in ponovno pridobili zaupanje.
Vir: opennet.ru