Доверие и Порча – Университет Миннесоты Запрещен Linux


Грег Кроа-Хартман запретил Миннесотскому университету вносить свой вклад в ядро Linux и приложил немало усилий, чтобы вернуть и переоценить 190 патчей, поступивших из того же университета. Является ли это чрезмерной реакцией или это единственный возможный ответ?

Ирония этой ситуации заключается в том, что спорный проект, который привел к потере доверия к Университету Миннесоты, был направлен на повышение безопасности Linux. Исследование, проведенное в августе 2020 года, было проведено Кангидзе Лу, доцентом и аспирантом Qjushi Wu, и их статья “О возможности скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью лицемерных коммитов” была принята на 42-м симпозиуме IEEE по безопасности и конфиденциальности. Исследование, которое было поддержано NSF (Национальным научным фондом), включало в себя явные гарантии того, что в результате эксперимента в ядро Linux не были объединены ошибки, хотя теперь кажется, что ошибка закрытия мьютекса, которую многие пропустили, была исправлена.

Однако запрет не был сделан в ответ на эту статью. Вместо этого триггером стал более поздний набор “явно неправильных патчей”, представленных Адитьей Пакки, еще одним аспирантом Лу, который объяснил, что они были представлены в результате его работы над “новым статическим анализатором”.

Для Кроа-Хартманна, который, как главный сопровождающий ядра Linux, несет полную ответственность за его безопасность и безопасность, представление новых исправлений багги стало последней каплей, и его подозрение состояло в том, что это снова часть какого-то исследовательского эксперимента, как отражено в его твите:

Ссылка в твите идет на ответ по электронной почте Адитье Пакки, в котором Хартманн пишет:

Вы и ваша группа публично признались в отправке патчей с известными ошибками, чтобы посмотреть, как сообщество ядра отреагирует на них, и опубликовали статью, основанную на этой работе.

Теперь вы снова отправляете новую серию явно неправильных патчей, так что я должен думать о такой вещи?

Они, очевидно, не были созданы инструментом статического анализа, который обладает каким-либо интеллектом, поскольку все они являются результатом совершенно разных паттернов, и все они, очевидно, даже ничего не фиксируют.  Итак, что я должен здесь думать, кроме того, что вы и ваша группа продолжаете экспериментировать с разработчиками сообщества ядра, отправляя такие бессмысленные патчи?…

Наше сообщество не ценит, когда на нем экспериментируют и “тестируют”, отправляя известные патчи, которые либо ничего не делают специально, либо специально вводят ошибки.  Если вы хотите заниматься такой работой, я предлагаю вам найти другое сообщество для проведения своих экспериментов, вам здесь не рады.

Из-за этого мне теперь придется запретить все будущие взносы из вашего университета и вырвать ваши предыдущие взносы, поскольку они, очевидно, были представлены недобросовестно с намерением вызвать проблемы.

Спросив его мнение у Линуса Торвальдса, получил очень мягкий ответ:

“Я не думаю, что это было очень важно с технической точки зрения, но люди злятся, и это, очевидно, нарушение доверия.”

В попытке снять запрет вчера были представлены извинения в виде “Открытого письма сообществу Linux”, подписанного Канцзе Лу, Цюши Ву и Адитьей Пакки из Университета Миннесоты. Он включает в себя заявление:

Мы просто хотим, чтобы вы знали, что мы никогда намеренно не навредим сообществу ядра Linux и никогда не будем вводить уязвимости безопасности. Наша работа была проведена с наилучшими намерениями и направлена на поиск и устранение уязвимостей в системе безопасности.

Позже в нем говорится::

Мы-исследовательская группа, члены которой посвящают свою карьеру совершенствованию ядра Linux. Мы работаем над поиском и исправлением уязвимостей в Linux в течение последних пяти лет. Прошлые наблюдения за процессом исправления побудили нас также изучить и решить проблемы, связанные с самим процессом исправления. 

Признавая гнев, испытываемый по отношению к ним сообществом Linux, они говорят::

Мы безоговорочно приносим извинения за то, что, как мы теперь признаем, было нарушением общего доверия к сообществу с открытым исходным кодом, и просим прощения за наши ошибки.

Но все не так просто. Доверие было нарушено – и действия этой исследовательской группы запятнали не только трех подписавших открытое письмо, но и весь Университет Миннесоты. Ответ Хартмана на это извинение был простым “Спасибо” и ссылается на письмо, отправленное Техническим консультативным советом Linux Foundation в Университет Миинесота, в котором излагаются конкретные действия, необходимые исследовательской группе и университету в целом, чтобы восстановить доверие сообщества ядра Linux.

Кажется вполне оправданным, что для восстановления доверия в этой ситуации требуется нечто большее, чем слова, – но давайте пойдем дальше. Этого нельзя было допустить. Linux-это критически важное программное обеспечение, на которое полагаются крупные компании и даже проекты по исследованию Марса – его не следует рассматривать как среду, в которой проводятся исследования, какими бы похвальными ни были цели исследований. 


Добавить комментарий