Ни один из вредоносных патчей Миннесотского университета не попал в ядро Linux

Информационная безопасность Open source
Разработчики ядра Linux из технического совета Linux Foundation опубликовали результаты проверки коммитов, отправленных Миннесотским университетом. Ранее вскрылось , что исследовательская группа университета намеренно отправляла патчи, привносящие уязвимости. Проверке подверглись как патчи, отправленные в рамках исследования, так и прочие, которые присылались сотрудниками университета, начиная с 2018 года. Проект « Hypocrite Commits »: 4 коммита с уязвимостями отклонены мейнтейнерами на этапе рецензирования; 1 корректный коммит был принят в ядро, поскольку исправлял реально существующую проблему. Разработчики не понимают, почему исследователи в своей опубликованной работе включили этот патч в число вредоносных. Прочие коммиты, не связанные с исследованием: 349 абсолютно корректны; 39 содержат недоработки (эти коммиты отменены и будут исправлены позже); 25 содержат недоработки, которые впоследствии были исправлены; 12 относятся к подсистемам, к настоящему времени удалённым из кодовой базы; 9 корректны, сделаны давно, ещё до образования исследовательской группы; 1 ошибочный, удалён по просьбе автора. Университету рекомендовано нанять опытного разработчика для предварительной проверки отправляемых изменений. Это предотвратило бы отправку некоторых из описанных выше недоработанных коммитов, и снизило нагрузку на мейнтейнеров. К тому же, это поможет восстановить в сообществе доверие к университету. В ближайшее время технический совет приступит к созданию документа, описывающего набор практик, которым стоит следовать при работе с сообществом разработчиков ядра Linux.)
Теги:
Хабы: