Как стать автором
Обновить

Комментарии 37

А в чём некорректность эксперимента? Проверили безопасность опен-сорса, выявили проблемы — что не так-то?

Не откатили назад как было и решили, что извинений будет достаточно, а ментейнеры как нибудь сами разгребут.

Отсутствие уведомления, дополнительная нагрузка и так на нагруженный процесс, допустили попадание заведомо известных ошибок в релиз, подорвали доверие.
Посаны вломились к кому то в дом а когда их поймали выяснилось что они просто учоные и тестировали ваши замки на прочность. Чо такого то.

При этом вынесли утюг, кота и включили газ.

Не, хуже. Как я понимаю, это не пацаны с улицы, а сосед, которому ты вполне доверял

Сосед, которому доверял, но уже давно были всякие подозрения.
Доверие легко потерять и тяжело вернуть.
«Как вам известно, в пятницу Linux Foundation и Technical Advisory Board направили вашему университету письмо с изложением конкретных действий, которые нужно предпринять, чтобы ваша группа и ваш университет смогли восстановить доверие сообщество ядра Linux. Пока не будут предприняты эти действия, нам больше нечего обсуждать.» (Грег Кроа-Хартман, разработчик ядра Linux, сопровождающий разработчик стабильной ветки ядра Linux)
НЛО прилетело и опубликовало эту надпись здесь
Обидели маленьких.
Сама виновата!

На самом деле вполне корректный эксперимент с вполне корректным, логичным и ожидаемым результатом (полученный бан). А вот с этической стороной эксперимента явно серьезные проблемы.


С точки зрения проекта экспериментаторы совершили неприемлемые действия в виде умышленной попытки внести ошибки и уязвимости в ядро, за что и были забанены, как был бы забанен любой другой злоумышленник.


Извинения и то, что это было проделано в рамках эксперимента, никак не отменяет факта умышленных неприемлемых действий в отношении ядра линукс. Это примерно то же, что и извинения подсудимых после оглашения приговора в суде, в том смысле, что на приговор (в данном случае на бан и условия его отмены) повлиять не должны никак.


Некорректность же, насколько я понимаю сложившуюся ситуацию, не самом в эксперименте, а в том, что, во-первых, экспериментаторы подставили весь университет, действуя фактически от его имени, а во-вторых, экспериментаторы после завершения эксперимента (если это, конечно, действительно был эксперимент) не отозвали свои коммиты перед публикацией и не дали время на их выпиливание, если они были приняты.
Впрочем, если бы этих проблем не было, бан экспериментаторам по результатам эксперимента должен был быть вынесен все равно,

Выявили, что злоумышленника, пытающегося намерено внести уязвимости в конкретный опен-сорс проект, забанят с позором. Эксперимент удался.
Вообще, как раз наоборот, выяснили, что вполне вероятно, что не забанят и даже не заподозрят ничего. Этот скандал-то разгорелся посте того, как господа хреновы экспериментаторы своей командой целый год вносили уязвимости, и спустя год раскрыли карты. Если бы они не опубликовали статью про это, чёрта с два их бы обнаружили.

Я поддерживаю. Все-таки линукс давно уже не наколенная студенческая поделка, это серьезная ось и экосистема вокруг, и денежки там нормальные крутятся. Вот и правила игры тоже поменялись.

Университет конечно не этично поступил, но саи случай показывает, что даже от злонамеренных ошибок опен-сорс не застрахован. При этом ответственности за эти ошибки сообщество не несёт. Есть над чем подумать.

А какую ответственность несёт за ошибки не опен-сорс?

Ответственность в пределах GPL (то есть никакой).

NO WARRANTY

BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
В проприетарном ПО тоже встречаются всякие непотребства, в т.ч. внесенные как ненарочно (ошибки, уязвимости, проблема Y2K и пр.), так и явно намеренно (бэкдоры, пасхальные яйца, вирусы и т.д.) И производители ПО должны нести ответственность за ошибки в своем ПО.
опен-сорс не застрахован

А кто-то утверждал, что застрахован от ошибок?

При этом ответственности за эти ошибки сообщество не несёт.

Ответственность? Давай ты напишешь какую-нибудь систему хотя бы на 50-100к строк кода. Далее я ищу в твоем коде баги — если найду — с тебя штраф/другие санкции, если не найду — то ничего тогда. Согласишься? Можем наоборот — я напишу такую систему. А ты внесешь пару фич туда. И если появится баг — с тебя также штраф? Должен же кто-то нести ответственность?
НЛО прилетело и опубликовало эту надпись здесь
Без automotive сертификации софт на пушечный выстрел не подпустят к автомобилям.
НЛО прилетело и опубликовало эту надпись здесь
Сертификация как раз гарантирует, что ответственность за косяки, так или иначе, будет. Также, это означает куда более строгий code review.
НЛО прилетело и опубликовало эту надпись здесь
от злонамеренных ошибок опен-сорс не застрахован
Наоборот, в конкретном случае уязвимости были обнаружены, злоумышленники — наказаны, а их коммиты — отреверчены.
Эксперимент получился глубже, чем задумывался. Чёрт с ней, с проверкой того, как быстро сообщество вредный код вычистит. Сейчас интереснее второй слой — как оно справится хотя бы с признанием своей уязвимости к таким угрозам.
А кто-то отрицал данную уязвимость в открытых проектах?
Не отрицать != признать. В информационной безопасности фигуры умолчания неуместны.

И пока что никто не встал, и не сказал открытым текстом: «да, мы пропустили закладки студенческого уровня и не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств».

Вместо этого люди перекладывают ответственность на университет, и занимаются поисками кошелька под фонарём, перепроверяя остальные его коммиты. Продуктивно, чо.
В информационной безопасности фигуры умолчания неуместны.
Напомню вам про то, что безопасность достигается превышением стоимости эксплуатации над потенциальной выгодой, а неуязвимость согласно текущим знаниям — за горизонтом событий чёрных дыр.
не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств
100% гарантий в случае с большой и сложной кодовой базой не может дать никто, в отличии от возможности ловить за руку вредителей.

там всё куда интересней вырисовывается потому что с точки зрения универа патячи с бэкдорами они до ядра не доводили( не прислали после получения одобрения в рассылке), а работа написана преимущественно на анализе чужих патчей с ошибками и того как их совокупность в итоге взаимодействует складываясь в случайный или намеренный бэкдор. собственно на основе этого анализа они типа и сделали те три патча которые ментейнеры проверили и были готовы принять.


больше всего вопросов к тому глупому патчу для статистического анализатора от которого у Грэга и пригорело, он действительно странный.

Пальцем не покажу, но кто-то отрицал. Причём этих «кто-то», которые утверждают, что вот в проприетарном софте могут быть любые закладки, а в опенсурсе исходники открыты, им можно доверять, навалом в каждом споре «опенсурс vs проприетарщина». Я думаю, вы их сами нередко встречали.
Эксперимент — да, вредный и неэтичный, но показательный: в крупных опенсурсных проектах точно так же могут быть любые закладки, и хрена с два их кто найдёт, потому что это иголка в стоге сена.

странно обычно когда речь заходит о безопасности то все адепты опенсурса сразу начинают с того что баги неизбежны вопрос в том как быстро их удаётся исправить и тыкают в исследование где открытый код позволяет делать это быстрее и да доверие считается абсурдной и ненадёжной концепцией в мире опенсурса.

Ну пусть эти люди обсыпаются пеплом. Принципиальная разница между открытыми и закрытыми исходниками в том, что найти проблему и рассказать о ней на порядки проще, только и всего, долгоживущими дырами после Shellshock уже сложно удивить.
Принципиальная разница между открытыми и закрытыми исходниками в том, что найти проблему и рассказать о ней на порядки проще

Есть ещё вторая принципиальная разница, с лихвой нивелирующая первую: также на порядки проще найти проблему и не рассказать о ней общественности, а использовать в своих целях. И знаете, в чём фишка? Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.
Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.
Давайте например спросим у a13xp0p0v, на каком энтузиазме он копается в ядре :)
Человек, заинтересованный поиском уязвимостей, будет этим заниматься вне зависимости от целей, доступности исходников и цветовой дифференциации шляп.
К сожалению, количество найденных незакрытых уязвимостей мы посчитать не можем, поэтому даже оценить разницу не получится.
Ну, к слову, раньше (до heartbleed и иже с ним, или даже ещё раньше) в опенсорс-сообществах можно было иногда услышать выражение о том, что чем больше глаз, тем больше шансов, что найдут багу.
Так что некоторые действительно отрицали такую уязвимость.
Однако, это не может быть оправданием действий минесотских шаловливых ручек, потому как сообщество уже несколько раз (если не сказать «много раз») ставили перед фактом того, что этот принцип попросту не работает.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.