Технический совет организации Linux Foundation опубликовал сводный отчёт с разбором инцидента с исследователями из Университета Миннесоты, связанного с попыткой продвижения в ядро патчей, содержащих скрытые ошибки, приводящие к уязвимостям. Разработчики ядра подтвердили ранее опубликованную информацию о том, что из 5 патчей, подготовленных в ходе исследования "Hypocrite Commits", 4 патча с уязвимостями были сразу отвергнуты мэйнтейнерами на стадии начального рецензирования и не попали в репозиторий ядра. Один патч был принят, но он корректно исправлял проблему и не содержал ошибок.
Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. С 2018 года группа исследователей из Университета Миннесоты достаточно активно участвовала в исправлении ошибок. Повторное рецензирование не выявило в данных коммитах вредоносной активности, но вскрыло отдельные неумышленные ошибки и недоработки.
349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность, так как затрагивали устаревшие системы, уже удалённые из ядра. Один из корректных коммитов был отменён по запросу автора. 9 корректных коммитов были отправлены с адресов @umn.edu задолго до образование разбираемой группы исследователей.
Для восстановления доверия к команде из Университета Миннесоты и возвращения возможности участия в разработке ядра организация Linux Foundation выдвинула ряд требований, большая часть из которых уже выполнена. Например, исследователи уже отозвали публикацию "Hypocrite Commits" и отменили своё выступление на конференции IEEE Symposium, а также публично раскрыли всю хронологию событий и предоставили детальную информацию об отправленных в ходе исследования изменениях.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=55095
Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. С 2018 года группа исследователей из Университета Миннесоты достаточно активно участвовала в исправлении ошибок. Повторное рецензирование не выявило в данных коммитах вредоносной активности, но вскрыло отдельные неумышленные ошибки и недоработки.
349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность, так как затрагивали устаревшие системы, уже удалённые из ядра. Один из корректных коммитов был отменён по запросу автора. 9 корректных коммитов были отправлены с адресов @umn.edu задолго до образование разбираемой группы исследователей.
Для восстановления доверия к команде из Университета Миннесоты и возвращения возможности участия в разработке ядра организация Linux Foundation выдвинула ряд требований, большая часть из которых уже выполнена. Например, исследователи уже отозвали публикацию "Hypocrite Commits" и отменили своё выступление на конференции IEEE Symposium, а также публично раскрыли всю хронологию событий и предоставили детальную информацию об отправленных в ходе исследования изменениях.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=55095