Linux e l’Università del Minnesota: l’analisi del Technical Advisory Board

Dopo le parole di Linus Torvalds sulla querelle tra Greg Kroah-Hartman e l’università del Minnesota, rea di aver inviato appositamente patch contenenti vulnerabilità per scrivere un paper a riguardo, oggi possiamo finalmente dare uno sguardo ai freddi numeri. Sì perché il Technical Advisory Board (TAB), organo che governa lo sviluppo del kernel Linux, ha fatto il punto della situazione.

Linux e UMN, parla il TAB

Attraverso un messaggio alla Linux Kernel Mailing List (LKML), il TAB della Linux Foundation, coadiuvato da sviluppatori e manutentori senior del kernel, ha riferito ciò che è emerso dopo l’analisi delle patch proposte negli anni dalla University of Minnesota (UMN). Vi ricordo che Greg Kroah-Hartman ha deciso di rimuovere qualsiasi commit proposto da studenti o dipendenti dell’UMN, impedendo l’invio di nuovi commit d’ora in avanti. Ben 435 commit sono stati riesaminati:

La stragrande maggioranza dei commit esaminati è risultata corretta.

Degli altri, 39 commit sono risultati errati, 25 sono stati risolti da commit successivi, 9 sono stati proposti prima della vicenda e ritirati dagli autori stessi. Sono ben 5 le modifiche deliberatamente errate inviate dall’UMN, secondo il Board.

Queste modifiche sono state inviate utilizzando due identità false, il che è contrario ai principi cui attenersi per contribuire al kernel Linux. L’Università sembra aver consentito ai ricercatori di utilizzare identità false quando hanno accettato il ‘Developers Certificate of Origin’, una dichiarazione legale che riguarda il lavoro svolto.

La revisione funziona

Tuttavia, a differenza di quanto affermato dai ricercatori, Qiushi Wu e Aditya Pakki, e dal loro consulente, Kangjie Lu, nel paper “Sulla fattibilità dell’introduzione furtiva di vulnerabilità nel software open-source tramite commits” il TAB riporta in modo chiaro e dettagliato che

Tutte le patch non valide o fallate sono state rilevate e ignorate dagli sviluppatori e dai manutentori del kernel Linux. I nostri processi di revisione delle patch hanno funzionato come previsto.

Anche se non sono state trovate nuove falle gli sviluppatori del kernel hanno ritenuto che questa enorme revisione del codice dovesse essere fatta.

Dovevamo essere scrupolosi perché c’era una minima possibilità, non importa quanto piccola, che codice deliberatamente corrotto avesse passato le revisioni.

L’università, messa alle strette, ha pubblicato un documento dal titoloA Full Disclosure of the Case Study of the Hypocrite Commits Paper” in cui svela gli indirizzi e-mail falsi utilizzati per la ricerca e tutti i dettagli sulle patch corrotte, compresi gli scambi di e-mail intercorsi.

Apertura

Guardando al futuro, la comunità Linux vuole lavorare di nuovo con l’UMN a patto che la scuola si impegni a migliorare “la qualità delle patch che vengono proposte per essere incluse nel kernel”. Nello specifico, la fiducia nei confronti dell’UMN è andata persa per questo il TAB richiede che venga designato un gruppo di sviluppatori interni esperti, al fine di esaminare e fornire feedback sulle modifiche proposte al kernel prima che tali modifiche vengano presentate pubblicamente. Il risultato atteso è un flusso di patch di qualità superiore. Fino a quando queste richieste non saranno esaudite le patch dell’UMN continueranno a trovare una “fredda accoglienza”.

sharing-caring-1

Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Fonte: https://www.lffl.org/2021/05/linux-umn-analisi-technical-advisory-board.html

Visited 5 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.