Грег Кроа-Хартман запретил Миннесотскому университету вносить свой вклад в ядро Linux и приложил немало усилий, чтобы вернуть и переоценить 190 патчей, поступивших из того же университета. Является ли это чрезмерной реакцией или это единственный возможный ответ?
Ирония этой ситуации заключается в том, что спорный проект, который привел к потере доверия к Университету Миннесоты, был направлен на повышение безопасности Linux. Исследование, проведенное в августе 2020 года, было проведено Кангидзе Лу, доцентом и аспирантом Qjushi Wu, и их статья «О возможности скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью лицемерных коммитов» была принята на 42-м симпозиуме IEEE по безопасности и конфиденциальности. Исследование, которое было поддержано NSF (Национальным научным фондом), включало в себя явные гарантии того, что в результате эксперимента в ядро Linux не были объединены ошибки, хотя теперь кажется, что ошибка закрытия мьютекса, которую многие пропустили, была исправлена.
Однако запрет не был сделан в ответ на эту статью. Вместо этого триггером стал более поздний набор «явно неправильных патчей», представленных Адитьей Пакки, еще одним аспирантом Лу, который объяснил, что они были представлены в результате его работы над «новым статическим анализатором».
Для Кроа-Хартманна, который, как главный сопровождающий ядра Linux, несет полную ответственность за его безопасность и безопасность, представление новых исправлений багги стало последней каплей, и его подозрение состояло в том, что это снова часть какого-то исследовательского эксперимента, как отражено в его твите:
Ссылка в твите идет на ответ по электронной почте Адитье Пакки, в котором Хартманн пишет:
Вы и ваша группа публично признались в отправке патчей с известными ошибками, чтобы посмотреть, как сообщество ядра отреагирует на них, и опубликовали статью, основанную на этой работе.
Теперь вы снова отправляете новую серию явно неправильных патчей, так что я должен думать о такой вещи?
Они, очевидно, не были созданы инструментом статического анализа, который обладает каким-либо интеллектом, поскольку все они являются результатом совершенно разных паттернов, и все они, очевидно, даже ничего не фиксируют. Итак, что я должен здесь думать, кроме того, что вы и ваша группа продолжаете экспериментировать с разработчиками сообщества ядра, отправляя такие бессмысленные патчи?…
Наше сообщество не ценит, когда на нем экспериментируют и «тестируют», отправляя известные патчи, которые либо ничего не делают специально, либо специально вводят ошибки. Если вы хотите заниматься такой работой, я предлагаю вам найти другое сообщество для проведения своих экспериментов, вам здесь не рады.
Из-за этого мне теперь придется запретить все будущие взносы из вашего университета и вырвать ваши предыдущие взносы, поскольку они, очевидно, были представлены недобросовестно с намерением вызвать проблемы.
Спросив его мнение у Линуса Торвальдса, получил очень мягкий ответ:
«Я не думаю, что это было очень важно с технической точки зрения, но люди злятся, и это, очевидно, нарушение доверия.»
В попытке снять запрет вчера были представлены извинения в виде «Открытого письма сообществу Linux», подписанного Канцзе Лу, Цюши Ву и Адитьей Пакки из Университета Миннесоты. Он включает в себя заявление:
Мы просто хотим, чтобы вы знали, что мы никогда намеренно не навредим сообществу ядра Linux и никогда не будем вводить уязвимости безопасности. Наша работа была проведена с наилучшими намерениями и направлена на поиск и устранение уязвимостей в системе безопасности.
Позже в нем говорится::
Мы-исследовательская группа, члены которой посвящают свою карьеру совершенствованию ядра Linux. Мы работаем над поиском и исправлением уязвимостей в Linux в течение последних пяти лет. Прошлые наблюдения за процессом исправления побудили нас также изучить и решить проблемы, связанные с самим процессом исправления.
Признавая гнев, испытываемый по отношению к ним сообществом Linux, они говорят::
Мы безоговорочно приносим извинения за то, что, как мы теперь признаем, было нарушением общего доверия к сообществу с открытым исходным кодом, и просим прощения за наши ошибки.
Но все не так просто. Доверие было нарушено — и действия этой исследовательской группы запятнали не только трех подписавших открытое письмо, но и весь Университет Миннесоты. Ответ Хартмана на это извинение был простым «Спасибо» и ссылается на письмо, отправленное Техническим консультативным советом Linux Foundation в Университет Миинесота, в котором излагаются конкретные действия, необходимые исследовательской группе и университету в целом, чтобы восстановить доверие сообщества ядра Linux.
Кажется вполне оправданным, что для восстановления доверия в этой ситуации требуется нечто большее, чем слова, — но давайте пойдем дальше. Этого нельзя было допустить. Linux-это критически важное программное обеспечение, на которое полагаются крупные компании и даже проекты по исследованию Марса — его не следует рассматривать как среду, в которой проводятся исследования, какими бы похвальными ни были цели исследований.