Несколько дней назад Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за стабильную ветку ядра Linux, сообщил, что специалистам Университета Миннесоты отныне запрещено отправлять любые изменения в ядро Linux, а все коммиты с адресов @umn.edu будут отклонены.
Дело в том, что три исследователя из Университета Миннесоты (Цюши Ву, Канцже Лу и Адитья Пакки) решили провести эксперимент, который они назвали «лицемерные коммиты». Эксперты умышленно добавляли в код уязвимости, желая продемонстрировать, что потенциально вредоносный код может остаться незамеченным и пройти процесс утверждения.
Для этого исследователи использовали инструмент статического анализа и нашли в коде ядра ряд низкоприоритетных уязвимостей, которые назвали «незрелыми». Затем они создали исправления для них, однако эти патчи лишь усугубляли «незрелые» уязвимости и делали их полноценными. После этого представители университета отправили свои «исправления» сопровождающим ядра, чтобы понять, обнаружат ли разработчики серьезную проблему в их патче для исправления мелкого бага. Получив ответ, исследователи сообщали, что их патч «неправильный», указывали на ошибку в нем и предлагали нормальное исправление.
Когда об этом эксперименте стало известно, Грег Кроа-Хартман откатил около 200 коммитов, пришедших с адресов @umn.edu и отправил их на повторную проверку. Из-за своей деятельности исследователи из Университета Миннесоты подверглись жесткой критике не только со стороны Кроа-Хартмана, но и всего сообщества.
«Нашему сообществу не нравится, когда над ним экспериментируют и “проверяют”, отправляя патчи, которые либо умышленно ничего не делают, либо умышленно вносят в код ошибки», — писал Кроа-Хартман.
В свою очередь, исследовательская группа сообщает, что уже прекратила данный эксперимент, и в минувшие выходные опубликовала открытое письмо, в котором извиняется перед всем сообществом Linux. Впрочем, многие эксперты отмечают, что извинения скорее похожи на попытки оправдаться и донести свою позицию.
«Мы хотим, чтобы вы знали, что мы никогда намеренно не навредим сообществу ядра Linux и никогда не станем внедрять уязвимости намеренно. Наше исследование проводилось с наилучшими намерениями и было направлено на поиск и устранение уязвимостей.
Работа “лицемерные коммиты” проводилась в августе 2020 года и была направлена на повышение безопасности процесса установки исправлений в Linux. В рамках проекта мы изучили потенциальные проблемы с процессом установки исправлений, включая причины возникновения проблем, и предложили методы их устранения.
Наше исследование не привнесло уязвимости в код Linux. Три некорректных патча лишь подверглись обсуждению, но не продвинулись дальше этого, они не попали в код. Мы изложили результаты и свои выводы (за исключением некорректных патчей) в нашей работе для сообщества Linux перед публикацией статьи, собрали отзывы и включили их в публикацию», — гласит письмо представителей университета.
Сейчас в университете проводится разбирательство, ведь, к примеру, эта работа по какой-то причине не была классифицирована, как исследование на людях.
Что до извинений, Кроа-Хартман, похоже, не слишком впечатлен открытым письмом:
«Как вам известно, в пятницу Linux Foundation и Technical Advisory Board направили вашему университету письмо с изложением конкретных действий, которые нужно предпринять, чтобы ваша группа и ваш университет смогли восстановить доверие сообщество ядра Linux. Пока не будут предприняты эти действия, нам больше нечего обсуждать», — пишет он.