Комментарии 37
Не откатили назад как было и решили, что извинений будет достаточно, а ментейнеры как нибудь сами разгребут.
При этом вынесли утюг, кота и включили газ.
Не, хуже. Как я понимаю, это не пацаны с улицы, а сосед, которому ты вполне доверял
«Как вам известно, в пятницу Linux Foundation и Technical Advisory Board направили вашему университету письмо с изложением конкретных действий, которые нужно предпринять, чтобы ваша группа и ваш университет смогли восстановить доверие сообщество ядра Linux. Пока не будут предприняты эти действия, нам больше нечего обсуждать.» (Грег Кроа-Хартман, разработчик ядра Linux, сопровождающий разработчик стабильной ветки ядра Linux)
На самом деле вполне корректный эксперимент с вполне корректным, логичным и ожидаемым результатом (полученный бан). А вот с этической стороной эксперимента явно серьезные проблемы.
С точки зрения проекта экспериментаторы совершили неприемлемые действия в виде умышленной попытки внести ошибки и уязвимости в ядро, за что и были забанены, как был бы забанен любой другой злоумышленник.
Извинения и то, что это было проделано в рамках эксперимента, никак не отменяет факта умышленных неприемлемых действий в отношении ядра линукс. Это примерно то же, что и извинения подсудимых после оглашения приговора в суде, в том смысле, что на приговор (в данном случае на бан и условия его отмены) повлиять не должны никак.
Некорректность же, насколько я понимаю сложившуюся ситуацию, не самом в эксперименте, а в том, что, во-первых, экспериментаторы подставили весь университет, действуя фактически от его имени, а во-вторых, экспериментаторы после завершения эксперимента (если это, конечно, действительно был эксперимент) не отозвали свои коммиты перед публикацией и не дали время на их выпиливание, если они были приняты.
Впрочем, если бы этих проблем не было, бан экспериментаторам по результатам эксперимента должен был быть вынесен все равно,
Я поддерживаю. Все-таки линукс давно уже не наколенная студенческая поделка, это серьезная ось и экосистема вокруг, и денежки там нормальные крутятся. Вот и правила игры тоже поменялись.
Университет конечно не этично поступил, но саи случай показывает, что даже от злонамеренных ошибок опен-сорс не застрахован. При этом ответственности за эти ошибки сообщество не несёт. Есть над чем подумать.
А какую ответственность несёт за ошибки не опен-сорс?
Ответственность в пределах GPL (то есть никакой).
NO WARRANTY
BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
опен-сорс не застрахован
А кто-то утверждал, что застрахован от ошибок?
При этом ответственности за эти ошибки сообщество не несёт.
Ответственность? Давай ты напишешь какую-нибудь систему хотя бы на 50-100к строк кода. Далее я ищу в твоем коде баги — если найду — с тебя штраф/другие санкции, если не найду — то ничего тогда. Согласишься? Можем наоборот — я напишу такую систему. А ты внесешь пару фич туда. И если появится баг — с тебя также штраф? Должен же кто-то нести ответственность?
от злонамеренных ошибок опен-сорс не застрахованНаоборот, в конкретном случае уязвимости были обнаружены, злоумышленники — наказаны, а их коммиты — отреверчены.
И пока что никто не встал, и не сказал открытым текстом: «да, мы пропустили закладки студенческого уровня и не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств».
Вместо этого люди перекладывают ответственность на университет, и занимаются поисками кошелька под фонарём, перепроверяя остальные его коммиты. Продуктивно, чо.
В информационной безопасности фигуры умолчания неуместны.Напомню вам про то, что безопасность достигается превышением стоимости эксплуатации над потенциальной выгодой, а неуязвимость согласно текущим знаниям — за горизонтом событий чёрных дыр.
не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств100% гарантий в случае с большой и сложной кодовой базой не может дать никто, в отличии от возможности ловить за руку вредителей.
там всё куда интересней вырисовывается потому что с точки зрения универа патячи с бэкдорами они до ядра не доводили( не прислали после получения одобрения в рассылке), а работа написана преимущественно на анализе чужих патчей с ошибками и того как их совокупность в итоге взаимодействует складываясь в случайный или намеренный бэкдор. собственно на основе этого анализа они типа и сделали те три патча которые ментейнеры проверили и были готовы принять.
больше всего вопросов к тому глупому патчу для статистического анализатора от которого у Грэга и пригорело, он действительно странный.
Эксперимент — да, вредный и неэтичный, но показательный: в крупных опенсурсных проектах точно так же могут быть любые закладки, и хрена с два их кто найдёт, потому что это иголка в стоге сена.
странно обычно когда речь заходит о безопасности то все адепты опенсурса сразу начинают с того что баги неизбежны вопрос в том как быстро их удаётся исправить и тыкают в исследование где открытый код позволяет делать это быстрее и да доверие считается абсурдной и ненадёжной концепцией в мире опенсурса.
Принципиальная разница между открытыми и закрытыми исходниками в том, что найти проблему и рассказать о ней на порядки проще
Есть ещё вторая принципиальная разница, с лихвой нивелирующая первую: также на порядки проще найти проблему и не рассказать о ней общественности, а использовать в своих целях. И знаете, в чём фишка? Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.
Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.Давайте например спросим у a13xp0p0v, на каком энтузиазме он копается в ядре :)
Человек, заинтересованный поиском уязвимостей, будет этим заниматься вне зависимости от целей, доступности исходников и цветовой дифференциации шляп.
К сожалению, количество найденных незакрытых уязвимостей мы посчитать не можем, поэтому даже оценить разницу не получится.
Так что некоторые действительно отрицали такую уязвимость.
Однако, это не может быть оправданием действий минесотских шаловливых ручек, потому как сообщество уже несколько раз (если не сказать «много раз») ставили перед фактом того, что этот принцип попросту не работает.
Кроа-Хартман отверг извинения Миннесотского университета