Linus Torvalds afferma che l’invio di patch del kernel con bug noti è una violazione della fiducia

linustorvalds 5eb9c74e476c4f2c38e8dc875bac866e

Come tutti si aspettavano, il creatore di Linux ovvero Linus Torvalds, ha detto la sua sul recente episodio dell’invio di patch con vulnerabilità da parte dell’Università del Minnesota affermando che, sebbene la presentazione di patch con bug noti al team del kernel non sia un grosso problema, è però ovviamente una violazione della fiducia.

Questa la lapidaria sentenza di Linus Torvalds che sta reagendo all’atto di un gruppo dell’Università del Minnesota che ha inviato patch note con bug allo sviluppatore senior Greg Kroah-Hartman.

Kroah-Hartman, normalmente un uomo che la virtù della cortesia, ha perso la calma quando queste patch sono state inviate in quanto ha creato inutilmente lavoro aggiuntivo per lui. Kroah-Hartman è colui che mantiene la linea stabile dei kernel.

E Torvalds ha risposto a iTWire:

“Non so davvero cosa dire, penso che il thread di posta elettronica sia probabilmente l’informazione più rilevante”

Kroah-Hartman ha detto all’università di Aditya Pakki che le patch difettose erano state inviate per vedere come avrebbe reagito la comunità del kernel, in modo che altri della stessa istituzione potessero scrivere un documento di ricerca.

“Non penso che sia stato un affare enorme dal punto di vista tecnico, ma le persone sono incazzate ed è ovviamente una violazione della fiducia.”

Qiushi Wu e Kangjie Lu dell’università hanno pubblicato il documento in questione, intitolato “Sulla fattibilità dell’introduzione furtiva di vulnerabilità nel software open-source tramite commit ipocriti”. Si ipocriti, usano proprio la parola “hypocrite”.

Il documento afferma di esplorare la possibilità di introdurre furtivamente vulnerabilità nel software open source, in questo caso il kernel Linux.

Nonostante queste provocazioni, Kroah-Hartman ha usato un linguaggio educato nel rispondere a Aditya Pakki e all’università.

“Quando si inviano patch create da uno strumento, tutti coloro che lo fanno le inviano con parole come ‘trovate dallo strumento XXX, non siamo sicuri che sia corretto o meno, per favore avvisate.” che NON è affatto quello che hai fatto qui “

ha scritto e continuando:

“Per questo motivo, ora dovrò bandire tutti i futuri contributi dalla tua Università e strappare i tuoi contributi precedenti, poiché sono stati ovviamente presentati in malafede con l’intento di causare problemi”.

Linus Torvalds ha aggiunto:

“È anche fastidioso, perché la maggior parte delle patch sono valide (e quelle che non lo sono sono generalmente ‘inutili’ piuttosto che ‘attivamente dannose’), quindi è fondamentalmente un’enorme perdita di tempo per le persone di nuovo le cose solo perché una fonte ha dimostrato di non essere a posto “.

Mats Heimdahl e Loren Terveen dell’università, rispettivamente capo e vicedirettore del Dipartimento di informatica dell’università, hanno rilasciato una dichiarazione ai media dopo che la storia è stata divulgata, dicendo:

“La leadership del Dipartimento di informatica e ingegneria dell’Università del Minnesota ha appreso oggi del dettagli della ricerca condotta da uno dei suoi docenti e studenti laureati sulla sicurezza del kernel Linux”.

“Il metodo di ricerca utilizzato ha sollevato serie preoccupazioni nella comunità del kernel Linux e, ad oggi, ciò ha comportato il divieto all’Università di contribuire al kernel Linux”.

“Prendiamo questa situazione estremamente seriamente. Abbiamo immediatamente sospeso questa linea di ricerca. Investigheremo il metodo di ricerca e il processo con cui questo metodo di ricerca è stato approvato, determineremo azioni correttive appropriate e salvaguarderemo da problemi futuri, se necessario”.

Heimdahl e Terveen pubblicheranno un rapporto sull’incidente non appena possibile:

“Riporteremo i nostri risultati alla comunità non appena possibile”.

E questo è tutto per il momento … mi sa tanto che sarà una neverending story 

Fonte: https://itwire.com/open-source/torvalds-says-submitting-known-buggy-patches-is-a-breach-of-trust.html

Visited 2 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.