Специалисты университета в экспериментальных целях внедрили в ядро Linux ряд уязвимостей.
Руководитель группы разработки и обслуживания ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman) запретил Миннесотскому университету впредь участвовать в развитии ядра Linux. Причиной послужили внесенные им неоднозначные патчи, вызывающие ряд вопросов.
Ранее специалисты университета опубликовали исследование под названием «Возможность незаметного внедрения уязвимостей в ПО с открытым исходным кодом через фальшивые коммиты». Очевидно, что под «ПО с открытым исходным кодом» исследователи подразумевали ядро Linux, в которое они в экспериментальных целях добавили уязвимость использования памяти после высвобождения.
Если это еще можно с натяжкой назвать этическим экспериментом, то дальнейшие действия специалистов Миннесотского университета не лезут ни в какие ворота. Аспирант факультета компьютерных наук и инженерии Адитья Пакки (Aditya Pakki) добавил в ядро Linux еще одну серию «явно некорректных патчей» в виде нового статического анализатора, но отрицал какой-либо злой умысел, уверяя, будто у него просто мало опыта в разработке Linux.
«Грег, я со всем уважением прошу вас прекратить разбрасываться обвинениями, граничащими с клеветой. Эти патчи были доставлены как часть нового написанного мной статического анализатора, точность которого, очевидно, желает лучшего. Я отправил патчи в надежде получить обратную связь. Мы не эксперты в области ядра Linux и постоянно слышать такие заявления противно. Да, это был неправильный шаг, но ваши предвзятые предубеждения настолько сильны, что вы делаете необоснованные утверждения и не даете возможности поверить нам на слово. Я не буду больше отправлять патчи из-за такого отношения, которое не только нежелательно, но и отпугивает новичков и неспециалистов», – ответил Пакки на запрет впредь участвовать в развитии ядра Linux.
В свою очередь, Грег Кроа-Хартман написал следующее: «Вы и ваша команда публично признались в отправке явно некорректных патчей с целью посмотреть на реакцию сообщества и даже опубликовали целое исследование на эту тему. Теперь вы снова добавили серию явно некорректных патчей, и что я должен думать? Очевидно, что они НЕ были созданы инструментом статического анализа, поскольку представляют собой результаты разных паттернов и не исправляют вообще ничего. Так что же я должен думать, если не то, что, отправляя бессмысленные патчи, вы и ваша группа продолжаете экспериментировать с сообществом разработчиков?».
Как пояснил Кроа-Хартман, созданные инструментами патчи обычно сопровождаются припиской «обнаружено инструментом таким-то, мы не уверены, корректно оно или нет, пожалуйста, посоветуйте», однако никаких таких приписок с патчами Пакки не было.
«Вы не просили о помощи, вы заявляли, что это легитимные исправления, и вы ЗНАЛИ, что они некорректные. Любой, кто хоть как-то знаком с C, за пару минут может выяснить, что ваши материалы вообще ничего НЕ делают, поэтому заявления, будто их создал инструмент, а вы считали их действительным «исправлением», выставляет в невыгодном свете вас, а не нас. Вы сами виноваты, быть подопытными кроликами для созданного вами инструмента – это не наша работа», – заявил Кроа-Хартман.
Руководство Миннесотского университета отнеслось к конфликту с большой серьезностью, и проводимое Пакки исследование было приостановлено. Администрация намерена проверить используемые исследователем методы и процесс их одобрения, а также принять все необходимые меры для предотвращения подобных случаев в будущем.
От классики до авангарда — наука во всех жанрах