Как стать автором
Обновить

Ни один из вредоносных патчей Миннесотского университета не попал в ядро Linux

Информационная безопасностьOpen source

Разработчики ядра Linux из технического совета Linux Foundation опубликовали результаты проверки коммитов, отправленных Миннесотским университетом. Ранее вскрылось, что исследовательская группа университета намеренно отправляла патчи, привносящие уязвимости.

Проверке подверглись как патчи, отправленные в рамках исследования, так и прочие, которые присылались сотрудниками университета, начиная с 2018 года.

Проект «Hypocrite Commits»:

  • 4 коммита с уязвимостями отклонены мейнтейнерами на этапе рецензирования;

  • 1 корректный коммит был принят в ядро, поскольку исправлял реально существующую проблему. Разработчики не понимают, почему исследователи в своей опубликованной работе включили этот патч в число вредоносных.

Прочие коммиты, не связанные с исследованием:

  • 349 абсолютно корректны;

  • 39 содержат недоработки (эти коммиты отменены и будут исправлены позже);

  • 25 содержат недоработки, которые впоследствии были исправлены;

  • 12 относятся к подсистемам, к настоящему времени удалённым из кодовой базы;

  • 9 корректны, сделаны давно, ещё до образования исследовательской группы;

  • 1 ошибочный, удалён по просьбе автора.

Университету рекомендовано нанять опытного разработчика для предварительной проверки отправляемых изменений. Это предотвратило бы отправку некоторых из описанных выше недоработанных коммитов, и снизило нагрузку на мейнтейнеров. К тому же, это поможет восстановить в сообществе доверие к университету.

В ближайшее время технический совет приступит к созданию документа, описывающего набор практик, которым стоит следовать при работе с сообществом разработчиков ядра Linux.

Теги:linuxминнесотский университетнекачественные патчиуязвимости
Хабы: Информационная безопасность Open source
Всего голосов 15: ↑15 и ↓0 +15
Просмотры3.6K

Похожие публикации

Technical Lead, Open Source
от 8 000 $Cube.jsМожно удаленно
Cyber Security Engineer[Security team]
от 4 000 до 5 500 $Coins.phМожно удаленно
Security engineer
от 150 000 до 300 000 ₽PleskНовосибирскМожно удаленно
Системный администратор Linux
до 200 000 ₽СКИФ ЭППМосква

Лучшие публикации за сутки