Команда из Университета Миннесоты пояснила мотивы экспериментов с сомнительными коммитами в ядро Linux
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Группа исследователей из Университета Миннесоты, приём изменений от которой на днях был заблокирован Грегом Кроа-Хартманом, опубликовала открытое письмо с извинениями и пояснением мотивов своей деятельности. Напомним, что группа занималась исследованием слабых мест рецензирования поступающих патчей и оценкой возможности продвижения в ядро изменений со скрытыми уязвимостями. После поступления от одного из участников группы сомнительного патча с бессмысленным исправлением было сделано предположение, что исследователи вновь пытаются проводить эксперименты над разработчиками ядра. Так как подобные эксперименты потенциально представляют угрозу безопасности и отнимают время у коммитеров было решено заблокировать приём изменений и отправить все ранее принятые патчи на повторное рецензирование.
В своём открытом письме участники группы заявили, что их деятельность была мотивирована исключительно благими намерениями и желанием улучшить процесс рецензирования изменений, путём выявления и устранения слабых мест. Группа уже много лет изучает процессы, приводящие к появлению уязвимостей, и активно работает по выявлению и устранению уязвимостей в ядре Linux. Утверждается, что все из отправленных на повторное рецензирование 190 патчей являются легитимными, исправляют существующие проблемы и не содержат преднамеренных ошибок или скрытых уязвимостей.
Вызвавшее опасение исследование по продвижению скрытых уязвимостей было проведено в августе прошлого года и ограничилось отправкой трёх патчей с ошибками, ни один из которых не попал в кодовую базу ядра. Связанная с данными патчами активность ограничилась только обсуждением и продвижение патчей было остановлено на стадии до добавления изменений в Git. Код трёх проблемных патчей пока не приводится, так как это раскроет лица тех, кто проводил начальное рецензирование (информация будет раскрыта после получения согласия от разработчиков, не распознавших ошибки).
Основным источником исследования были не собственные патчи, а анализ когда-либо добавленных в ядро чужих патчей, из-за которых в последующем всплывали уязвимости. К добавлению данных патчей команда Университета Миннесоты не имеет никакого отношения. Всего было изучено 138 проблемных патчей, приводивших к появлению ошибок, и к моменту публикации результатов исследования все связанные с ними ошибки были исправлены, в том числе при участии команды, проводившей исследование.
Исследователи сожалеют, что они воспользовались неуместным методом проведения эксперимента. Ошибкой было то, что исследование было проведено без получения разрешения и без уведомления сообщества. Мотивом скрытой деятельности было желание добиться чистоты эксперимента, так как уведомление могло привлечь отдельное внимание к патчам и их оценке не на общих основаниях. Несмотря не то, что целью было улучшение безопасности ядра, сейчас исследователи осознали, что использование сообщества в качестве подопытного кролика было некорректным и неэтичным. При этом исследователи уверяют, что никогда намеренно не навредили бы сообществу и не допустили бы внесению новых уязвимостей в рабочий код ядра.
Что касается бессмысленного патча, который послужил катализатором блокировки, то он не имеет отношения к прошлому исследованию и связан с новым проектом, нацеленным на создание инструментария для автоматизированного выявления ошибок, появляющихся в результате добавления других патчей.
Сейчас участники группы пытаются найти пути возврата к участию в разработке и намерены наладить свои отношения с Linux Foundation и сообществом разработчиков, доказав свою полезность в деле повышения безопасности ядра и выразив желание усиленно работать для общей пользы и возвращения доверия.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lkml.org/lkml/2021/4/2...)
- OpenNews: Университет Миннесоты отстранён от разработки ядра Linux за отправку сомнительных патчей
- OpenNews: Отчёт о компрометации git-репозитория и базы пользователей проекта PHP
- OpenNews: В Git-репозитории проекта PHP выявлены вредоносные изменения
- OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
- OpenNews: Эксплоит для проверки систем на root-уязвимость в Linux-ядре оказался трояном
Похожие новости:
- [Программирование, C, Компьютерное железо, DIY или Сделай сам] Не простые проблемы простого устройства — тачскрин
- [Производство и разработка электроники, Компьютерное железо, Ноутбуки] Энтузиасты собирают ноутбук на электронной бумаге. Выбираем дисплей и шасси
- [Системное администрирование, *nix, Разработка под Linux] Заметки о Unix: небольшая странность семейства вызовов exec*() (перевод)
- [Open source, Разработка под Linux] Линус Торвальдс прокомментировал бан Миннесотского университета сообществом разработчиков Linux
- [Open source, GitHub, Разработка под Linux, Космонавтика] Опенсорс прилетел на Марс
- [Настройка Linux, Open source, Софт] Пссст, %username%, Ubuntu 21.04 уже здесь
- Microsoft начал тестирование поддержки запуска GUI-приложений Linux в Windows
- [Open source, Виртуализация, Облачные вычисления, Учебный процесс в IT] Гайд по git stash, разбиваем диск под Linux с GNU Parted, шпаргалка по SQLite и полезное руководство по графикам
- [Настройка Linux, Информационная безопасность, Open source, Разработка под Linux, Законодательство в IT] Linux забанил коммиты Миннесотского университета за эксперименты с намеренными некачественными патчами
- [Open source, Разработка под Linux, IT-компании] Контрибьютора в ядро Linux обязали использовать рабочую почту: он «100 % времени работник IBM»
Теги для поиска: #_linux, #_kernel
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:32
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Группа исследователей из Университета Миннесоты, приём изменений от которой на днях был заблокирован Грегом Кроа-Хартманом, опубликовала открытое письмо с извинениями и пояснением мотивов своей деятельности. Напомним, что группа занималась исследованием слабых мест рецензирования поступающих патчей и оценкой возможности продвижения в ядро изменений со скрытыми уязвимостями. После поступления от одного из участников группы сомнительного патча с бессмысленным исправлением было сделано предположение, что исследователи вновь пытаются проводить эксперименты над разработчиками ядра. Так как подобные эксперименты потенциально представляют угрозу безопасности и отнимают время у коммитеров было решено заблокировать приём изменений и отправить все ранее принятые патчи на повторное рецензирование. В своём открытом письме участники группы заявили, что их деятельность была мотивирована исключительно благими намерениями и желанием улучшить процесс рецензирования изменений, путём выявления и устранения слабых мест. Группа уже много лет изучает процессы, приводящие к появлению уязвимостей, и активно работает по выявлению и устранению уязвимостей в ядре Linux. Утверждается, что все из отправленных на повторное рецензирование 190 патчей являются легитимными, исправляют существующие проблемы и не содержат преднамеренных ошибок или скрытых уязвимостей. Вызвавшее опасение исследование по продвижению скрытых уязвимостей было проведено в августе прошлого года и ограничилось отправкой трёх патчей с ошибками, ни один из которых не попал в кодовую базу ядра. Связанная с данными патчами активность ограничилась только обсуждением и продвижение патчей было остановлено на стадии до добавления изменений в Git. Код трёх проблемных патчей пока не приводится, так как это раскроет лица тех, кто проводил начальное рецензирование (информация будет раскрыта после получения согласия от разработчиков, не распознавших ошибки). Основным источником исследования были не собственные патчи, а анализ когда-либо добавленных в ядро чужих патчей, из-за которых в последующем всплывали уязвимости. К добавлению данных патчей команда Университета Миннесоты не имеет никакого отношения. Всего было изучено 138 проблемных патчей, приводивших к появлению ошибок, и к моменту публикации результатов исследования все связанные с ними ошибки были исправлены, в том числе при участии команды, проводившей исследование. Исследователи сожалеют, что они воспользовались неуместным методом проведения эксперимента. Ошибкой было то, что исследование было проведено без получения разрешения и без уведомления сообщества. Мотивом скрытой деятельности было желание добиться чистоты эксперимента, так как уведомление могло привлечь отдельное внимание к патчам и их оценке не на общих основаниях. Несмотря не то, что целью было улучшение безопасности ядра, сейчас исследователи осознали, что использование сообщества в качестве подопытного кролика было некорректным и неэтичным. При этом исследователи уверяют, что никогда намеренно не навредили бы сообществу и не допустили бы внесению новых уязвимостей в рабочий код ядра. Что касается бессмысленного патча, который послужил катализатором блокировки, то он не имеет отношения к прошлому исследованию и связан с новым проектом, нацеленным на создание инструментария для автоматизированного выявления ошибок, появляющихся в результате добавления других патчей. Сейчас участники группы пытаются найти пути возврата к участию в разработке и намерены наладить свои отношения с Linux Foundation и сообществом разработчиков, доказав свою полезность в деле повышения безопасности ядра и выразив желание усиленно работать для общей пользы и возвращения доверия. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:32
Часовой пояс: UTC + 5