Как стать автором
Обновить

Linux забанил коммиты Миннесотского университета за эксперименты с намеренными некачественными патчами

Время на прочтение 2 мин
Количество просмотров 20K


21 апреля 2021 года сопровождающий разработчик стабильной ветки ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman) объявил о введении глобальной блокировки на все коммиты от Миннесотского университета. Это было сделано из-за неэтичных экспериментов вуза с попытками намеренного введения в ядро Linux некачественных патчей — в них были ошибки и даже скрытые уязвимости. Часть патчей ранее даже попали в стабильные ветки Linux. Сейчас все коммиты от Миннесотского университета отозваны и перепроверяются мейнтейнерами проекта.

Разработчики Миннесотского университета занимались устранением настоящих уязвимостей в ядре Linux. Но в прошлом году одна из исследовательских групп вуза начала проект по продвижению скрытых уязвимостей с помощью коммитов в различные файлы и подсистемы. Потом, по заявлению представителя группы исследователей, они отзывали свои коммиты, а в код ядра Linux не уходили некорректные исправления.

В феврале этого года в научной работе они показали, что смогли тайно внедрить множество уязвимостей в различные проекты с открытым исходным кодом. Коэффициент одобрения их кода был 60 %.

Оказалось, что это было не всегда. Грег Кроа-Хартман лично перепроверил несколько проблемных коммитов от Миннесотского университета, причем их разработчики настаивали на своей позиции в переписке и уточняли детали необходимости их внедрения различными отговорками. В настоящее время Грег Кроа-Хартман откатил 190 коммитов разработчиков Миннесотского университета. Их деятельность внутри сообщества продолжает проверяться и анализироваться. Так сообщество уже обнаружило, что часть из ранее якобы отозванных в научной статье патчей были с умышленными уязвимостями и разработчики их пропустили.

Администрация Миннесотского университета также в курсе этой неприятной ситуации и запретила своим преподавателям и аспирантам факультета компьютерных наук заниматься исследованием безопасности ядра Linux таким способом. Университет начал со своей стороны проверку исследования и обещает, что в будущем такое не повторится.

Мейнтейнер ядра Linux и сотрудник Google Тед Т'со (Ted T'so) пояснил, что ранее команда университета делала полезную работу по обеспечению безопасности и вносила нужные для развития проекта коммиты. Даже после окончания исследовательской работы, о которой должны были знать в сообществе разработчиков ядра Linux, сотрудники вуза не раскаиваются и не понимают, почему такие эксперименты по сути на людях, неприемлемы.

Технологический стратег Red Hat Джред Флойд сравнил действия команды университета с умышленным перерезанием тормозных шлангов машин на парковке и фиксацией, сколько людей пострадает от этого, если не заметит и поедет домой.

Не все разработчики согласны с решением сообщества. Так, инженер по криптографии и программному обеспечению в Google Филипо Валсорда считает, что безопасность кода ядра Linux заслуживает большего внимания, чем выходки исследователей, и что блокировка коммитов на основе домена электронной почты университета, без подтвержденной проверки правильности кода, является более серьезной проблемой.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
+61
Комментарии 125
Комментарии Комментарии 125

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн