Група дослідників з Університету Міннесоти, прийом змін від якої днями було заблоковано Грегом Кроа-Хартманом, опублікувала відкритий лист із вибаченнями та поясненням мотивів своєї діяльності. Нагадаємо, що група займалася дослідженням слабких місць рецензування патчів, що надходять, і оцінкою можливості просування в ядро змін зі прихованими вразливостями. Після надходження від одного з учасників групи сумнівного патчу з безглуздим виправленням було зроблено припущення, що дослідники знову намагаються проводити експерименти над розробниками ядра. Так як подібні експерименти потенційно становлять загрозу безпеці та забирають час у коммітерів було вирішено заблокувати прийом змін та відправити всі раніше прийняті патчі на повторне рецензування.
У своєму відкритому листі учасники групи заявили, що їхня діяльність була мотивована виключно добрими намірами та бажанням покращити процес рецензування змін, шляхом виявлення та усунення слабких місць. Група вже багато років вивчає процеси, що призводять до появи вразливостей, і активно працює з виявлення та усунення вразливостей у ядрі Linux. Стверджується, що всі відправлені на повторне рецензування 190 патчі є легітимними, виправляють існуючі проблеми і не містять навмисних помилок або прихованих вразливостей.
Дослідження з просування прихованих уразливостей, що викликало побоювання, було проведено в серпні минулого року і обмежилося відправкою трьох патчів з помилками, жоден з яких не потрапив у кодову базу ядра. Пов'язана з цими патчами активність обмежилася лише обговоренням і просування патчів було зупинено на стадії до додавання змін до Git. Код трьох проблемних патчів поки що не наводиться, оскільки це розкриє особи тих, хто проводив початкове рецензування (інформацію буде розкрито після отримання згоди від розробників, які не розпізнали помилки).
Основним джерелом дослідження були не власні патчі, а аналіз будь-коли доданих в ядро чужих патчів, через які в подальшому випливали вразливості. До додавання даних патчів команда Університету Міннесоти не має жодного відношення. Всього було вивчено 138 проблемних патчів, що призводили до появи помилок, і на момент публікації результатів дослідження всі пов'язані з ними помилки були виправлені, у тому числі за участю команди, яка проводила дослідження.
Дослідники шкодують, що вони користувалися недоречним способом проведення експерименту. Помилкою було те, що дослідження було проведено без отримання дозволу та без повідомлення спільноти. Мотивом прихованої діяльності було бажання досягти чистоти експерименту, оскільки повідомлення могло привернути окрему увагу до патчів та їх оцінки не на загальних підставах. Незважаючи на те, що метою було покращення безпеки ядра, зараз дослідники усвідомили, що використання спільноти як піддослідного кролика було некоректним і неетичним. При цьому дослідники запевняють, що ніколи навмисно не нашкодили б спільноті і не допустили б внесення нових вразливостей до робочого коду ядра.
Що стосується безглуздого патчу, який послужив каталізатором блокування, то він не має відношення до минулого дослідження та пов'язаний з новим проектом, націленим на створення інструментарію для автоматизованого виявлення помилок, що з'являються в результаті додавання інших патчів.
Наразі учасники групи намагаються знайти шляхи повернення до участі у розробці та мають намір налагодити свої відносини з Linux Foundation та спільнотою розробників, довівши свою корисність у справі підвищення безпеки ядра та висловивши бажання посилено працювати для спільної користі та повернення довіри.
Джерело: opennet.ru