En grupp forskare från University of Minnesota, vars ändringar nyligen blockerades av Greg Croah-Hartman, publicerade ett öppet brev där de bad om ursäkt och förklarade motiven för deras verksamhet. Låt oss komma ihåg att gruppen undersökte svagheter i granskningen av inkommande patchar och utvärderade möjligheten att främja förändringar med dolda sårbarheter i kärnan. Efter att ha fått en tveksam patch med en meningslös fix från en av gruppmedlemmarna, antogs det att forskarna återigen försökte utföra experiment på kärnutvecklarna. Eftersom sådana experiment potentiellt kan utgöra ett säkerhetshot och tar upp tid från operatörer, beslutades det att blockera acceptans av ändringar och skicka alla tidigare accepterade patchar för ny granskning.
I sitt öppna brev uppgav gruppen att deras verksamhet enbart motiverades av goda avsikter och en önskan att förbättra förändringsgranskningen genom att identifiera och åtgärda svagheter. Gruppen har studerat de processer som leder till sårbarheter i många år och arbetar aktivt med att identifiera och eliminera sårbarheter i Linux-kärnan. Alla 190 patchar som skickats in för ny granskning sägs vara legitima, fixa befintliga problem och inte innehålla avsiktliga buggar eller dolda sårbarheter.
Den alarmerande studien om att främja dolda sårbarheter genomfördes i augusti förra året och begränsades till att skicka in tre felkorrigeringar, varav ingen kom in i kärnans kodbas. Aktivitet relaterad till dessa patchar var begränsad till enbart diskussion och utvecklingen av patcharna stoppades i skedet innan ändringarna lades till i Git. Koden för de tre problematiska patcharna har ännu inte tillhandahållits, eftersom detta skulle avslöja identiteten på de som utförde den första granskningen (information kommer att avslöjas efter att ha erhållit medgivande från utvecklare som inte kände igen felen).
Den huvudsakliga källan till forskningen var inte våra egna patchar, utan analysen av andras patchar som någonsin lagts till kärnan, på grund av vilka sårbarheter senare uppstod. Teamet från University of Minnesota har ingenting att göra med tillägget av dessa patchar. Totalt 138 problematiska patchar som ledde till fel studerades, och när studieresultaten publicerades hade alla associerade fel korrigerats, inklusive med deltagande av teamet som genomförde studien.
Forskarna beklagar att de använde en olämplig experimentell metod. Misstaget var att studien genomfördes utan att ha fått tillstånd och utan att meddela samhället. Motivet till den dolda aktiviteten var önskan att uppnå experimentets renhet, eftersom meddelandet kunde dra särskild uppmärksamhet till plåstren och deras utvärdering inte på generell basis. Även om målet inte var att förbättra kärnsäkerheten insåg forskarna nu att det var olämpligt och oetiskt att använda samhället som ett marsvin. Samtidigt försäkrar forskarna att de aldrig medvetet skulle skada samhället och inte tillåta att nya sårbarheter introduceras i den fungerande kärnkoden.
När det gäller den meningslösa lappen som fungerade som katalysator för förbudet, är den inte relaterad till den tidigare forskningen och är associerad med ett nytt projekt som syftar till att skapa verktyg för automatisk upptäckt av fel som uppstår som ett resultat av tillägg av andra korrigeringsfiler.
Gruppmedlemmarna försöker för närvarande hitta sätt att återgå till utveckling och avser att förbättra sin relation med Linux Foundation och utvecklargemenskapen genom att bevisa sin användbarhet för att förbättra kärnsäkerheten och uttrycka en önskan att arbeta hårt för det gemensamma bästa och återvinna förtroendet.
Källa: opennet.ru