24 апреля 2021 года группа исследователей-разработчиков из Миннесотского университета в составе Канцзе Лу (Kangjie Lu), Цюши У (Qiushi Wu) и Адитья Пакки (Aditya Pakki) опубликовала открытое письмо с извинениями в адрес сообщества Linux по поводу своей некорректной научной деятельности, приведшей к блокировке коммитов от вуза. Ученые сожалеют, что действовали скрытно, без разрешения и информирования сообщества.
Исследователи Миннесотского университета рассказали, что в их мотивах не было желания навредить сообществу или каким-либо образом умышленно повлиять на работу ядра Linux. Цель их работы заключалась в понимании того, как можно улучшить процесс рецензирования коммитов и показать, что сейчас в нем есть слабые места. Они пояснили, что осознали неуместность используемого ими метода и понимают причины их блокировки.
Участники группы написали, что будут пытаться любыми способами доказать свою полезность и восстановить доверие сообщества, вернуться к разработке и изучению безопасности ядра Linux, а также помогать студентам университета заниматься развитием проектов СПО.
21 апреля 2021 года сопровождающий разработчик стабильной ветки ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman) объявил о введении глобальной блокировки на все коммиты от Миннесотского университета из-за неэтичных экспериментов вуза с попытками намеренного введения в ядро Linux некачественных патчей — в них были ошибки и даже скрытые уязвимости. Часть патчей ранее даже попали в стабильные ветки Linux. Все коммиты от Миннесотского университета были отозваны и перепроверяются мейнтейнерами проекта. Администрация вуза также начала проверку правомерности деятельности своих сотрудников.
23 апреля Линус Торвальдс прокомментировал блокировку Миннесотского университета и пояснил, что действия исследователей Миннесотского университета привели к нарушению доверия и разозлило сообщество проведением над ними неэтичного эксперимента.
Areso
— КГБ просит вас, ректора Муромского университета, внедрить пару бэкдоров в ядро Линукс.
— но ведь это будет очевидно?
— пусть ваши студенты напишут много плохого кода и пару бэкдоров через переполнение никто и не заметит на этом фоне
…
3 года спустя:
— куратор, нас вычислили!
— сохраняйте спокойствие! Вы ведь не первый день на посту! Скажите, что это был эксперимент по изучению рецензирования и он был успешно выполнен с достижением значимых результатов!
…
Пресс-релиз: мы, Муромский университет, с сожалением заявлением, что провели неэтичный эксперимент, в рамках которого позволили второкурсникам накидать плохого кода в ядро Линукс… который был принят без должной проверки мейнтейнерами… все уязвимости не были злонамеренностью, а лишь случайностью… из-за недостатка опыта у наших студентами… обещаем исправиться и впредь так не делать. /s
AlexanderS
Вот чтобы впредь было неповадно «позволили второкурсникам» и «из-за недостатка опыта у наших студентами» нужно бы теперь весь университет прям забанить на пятачёк лет. Чтобы другие понимали что надо нормально выстраивать свою внутреннюю доверенную двух- или трёхуровневую структуру, а не организовывать всё так, что неопытные студенты могут без проблем коммитить прям в ядро.
poxvuibr
А может улучшить контроль над принимаемыми патчами, потому что впринципе какой-нибудь другой университет может такое сделать. И уже не по поручению КГБ, а по поручению какого-нибудь другого, более внимательного к мелочам агентства. Ну, как уже было во FreeBSD. Может надо что-то делать в принимающей точке, которая полностью под контролем мейнтейнеров?
Да, не фигня какая-то ))). Шучу я! Надо просто забанить Муромскй университет лет на 100, чтобы ни у кого даже мысли не было опубликовать результаты таких проверок!
AlexanderS
Улучшить контроль можно только двумя способами: или тот же ресурс может всё проверять придирчивее, что будет приводить к замедлению скорости развития, или нужно увеличить сам ресурс. Вы знаете где можно взять много компетентных людей, готовых работать на общественных началах и честности и совестливости которых можно доверять? В своё время в этот круг допустили разрабов Миннесотского университета. Что именно вы предлагаете улучшить? Чтобы Товальдс лично контролировал ВСЕ коммиты? Где ему взять столько времени? Чтобы коммиты этого университета проходили аудит другого университета? Где взять столько компетентных спецов в каждом университете?
Понятно, что вся эта ситуация сделала очевидным ряд проблем. Муромский университет нужно на 100 лет наказать не за сам факт исследования, а за форму и этику его проведения. Они могли бы согласовать его проведение с главными разрабами. Они могли бы подготовиться и после публикации оперативно выкатить патчи, которые бы нивелировали всю гадость, которые они натащили в ядро. Но по факту всё сделано так, что я вполне склоняюсь к интерпретации всего этого как в первом комментарии этой темы. Как-то улучшать контроль над принимаемыми патчами нужно. Но надо понимать, что это непросто. Linux — это опенсорс. Опенсорс — это зачастую доверие. Куча народу делает что-то общее, далеко не всегда получая за это адекватной денежной отдачи. Но вот появились дартаньяны, показали то, что в общем-то было и так очевидно. И умыли руки. И что делать дальше?
crustal
" Да, не фигня какая-то ))). Шучу я! Надо просто забанить Муромскй университет лет на 100, чтобы ни у кого даже мысли не было опубликовать результаты таких проверок! "
Логично, кто-то же должен ответить за надругательство над линуксом. Не банить же Миннесотский университет. Чтоб другим неповадно было. И санкции против всего состава, включая уборщиц и кота Ваську.
lazer1064
ничего, что это все денег стоит? А разработка линуха — исключительно волонтерский проект, если вы не в курсе, и денег за это никто не платит, внезапно.
innovaIT
Но на что то это проект существует? Значит есть гранты от тех, кто использует ядро. Думаю и другие спонсоры есть. Я все таки за более строгую проверку. А не за то что кто то что то выкатили в ядро. Думаю многие фирмы заинтересованы, чтоб ядро работало стабильно. И даже по 10 центов с устройства даст зарплату внемяемым разрабам.кторые смогут нормально ревьюить.
0xd34df00d
А вот эти все коммиты в ядро, где у авторов емейлы redhat.com, ibm.com, google.com, microsoft.com, nvidia.com, и так далее — неужто они все в личное время всё это пилят?
OnYourLips
По статистике коммитов до 2020 года более 88% коммитов от коммерческих организаций.
telpos
По статистике больше половины кода ядра — это драйвера.
ne555
В Муроме филиал Институт.
tvr
НИИЧАВО?
saintbyte
Так так КГБ… КГБ осталось в Белоруссии, может раскрытое покушение на батьку это происки не ЦРУ и АНБ а банды радикальных линуксоидов?