I ricercatori dell’Università del Minnesota inviano una lettera di scuse alla comunità Linux
I ricercatori dell’Università del Minnesota (UMN) – Kangjie Lu, Assistant Professor, e Qiushi Wu, Aditya Pakki, Ph.D. studenti – hanno pubblicato sabato una lettera di scuse aperte cercando di seppellire l’ascia di guerra con la comunità Linux per le cose che avevano portato agli eventi che hanno avuto luogo alcuni giorni fa.
Uno dei principali sviluppatori e manutentori del kernel Linux, Greg Kroah-Hartman ha messo un ban sull’UMN per aver intenzionalmente inserito patch buggate nel kernel Linux.
I ricercatori dell’UMN stavano conducendo uno studio relativo alla vulnerabilità di sicurezza del software Open-source, che in questo caso è Linux. Tuttavia, Greg Kroah-Hartman era molto scontento in quanto i ricercatori lo avevano effettuato senza chiedere il permesso prima di farlo, né prima di eseguire patch discutibili sul kernel Linux anche dopo che il documento di ricerca era apparentemente completato.
È interessante notare che, in questa lettera di scuse, i ricercatori informano che le patch più recenti non corrette sono state apportate come parte di un nuovo progetto “che mira a identificare automaticamente i bug introdotti da altre patch” nel kernel di Linux. Le 3 patch errate dicono che i ricercatori dell’UMN sarebbero state rese accessibili una volta ottenuto il consenso dei membri Linux coinvolti.
La lettera di scuse aggiunge anche che “Tutte le altre 190 patch ripristinate e rivalutate sono state inviate come parte di altri progetti e come servizio alla comunità. Queste 190 patch erano in risposta a bug reali nel codice e tutte corrette“.
Infine, i ricercatori dell’UMN affermano di “cercare di ricostruire il rapporto con la Linux Foundation e la comunità Linux” sperando di “contribuire ancora una volta all’obiettivo condiviso di migliorare la qualità e la sicurezza del software Linux”.
La lettera di scuse completa recita:
Cari membri della comunità:
Ci scusiamo sinceramente per qualsiasi danno arrecato al nostro gruppo di ricerca alla comunità del kernel Linux. Il nostro obiettivo era identificare i problemi con il processo di patch e i modi per risolverli, e siamo molto dispiaciuti che il metodo utilizzato nel documento “hypocrite commits” sia inappropriato. Come molti osservatori ci hanno fatto notare, abbiamo commesso un errore non trovando un modo per consultarci con la comunità e ottenere il permesso prima di eseguire questo studio; lo abbiamo fatto perché sapevamo che non potevamo chiedere il permesso ai manutentori di Linux, altrimenti sarebbero stati alla ricerca di patch ipocrite. Sebbene il nostro obiettivo fosse quello di migliorare la sicurezza di Linux, ora comprendiamo che è stato dannoso per la comunità renderlo un oggetto della nostra ricerca e sprecare i suoi sforzi nel rivedere queste patch senza la sua conoscenza o autorizzazione.
Vogliamo solo che tu sappia che non danneggeremo mai intenzionalmente la comunità del kernel Linux e non introdurremo mai vulnerabilità di sicurezza. Il nostro lavoro è stato condotto con le migliori intenzioni e consiste nel trovare e correggere le vulnerabilità della sicurezza.
Il lavoro “hypocrite commits” è stato svolto nell’agosto 2020; mirava a migliorare la sicurezza del processo di applicazione delle patch in Linux. Come parte del progetto, abbiamo studiato i potenziali problemi con il processo di patch di Linux, comprese le cause dei problemi e i suggerimenti per risolverli.
* Questo lavoro non ha introdotto vulnerabilità nel codice Linux. Le tre patch errate sono state discusse e interrotte durante gli scambi in una bacheca di Linux e non sono mai state sottoposte al codice. Abbiamo riportato i risultati e le nostre conclusioni (escluse le patch errate) del lavoro alla comunità Linux prima dell’invio del documento, raccolto il loro feedback e incluso nel documento.
* Tutte le altre 190 patch ripristinate e rivalutate sono state presentate come parte di altri progetti e come servizio alla comunità; non hanno niente a che fare con il giornale “hypocrite commits”.
* Queste 190 patch erano in risposta a bug reali nel codice e tutte corrette – per quanto ne possiamo discernere – quando le abbiamo presentate.
* Comprendiamo il desiderio della comunità di accedere ed esaminare le tre patch errate. In questo modo si rivelerebbe l’identità dei membri della comunità che hanno risposto a queste patch sulla bacheca. Pertanto, stiamo lavorando per ottenere il loro consenso prima di rivelare queste patch.
* Neanche le nostre recenti patch dell’aprile 2021 fanno parte del documento “hypocrite commits”. Stavamo conducendo un nuovo progetto che mira a identificare automaticamente i bug introdotti da altre patch (non da noi). Le nostre patch sono state preparate e inviate per correggere i bug identificati per seguire le regole di Responsible Disclosure e siamo felici di condividere i dettagli di questo nuovo progetto con la comunità Linux.
Siamo un gruppo di ricerca i cui membri dedicano la loro carriera al miglioramento del kernel Linux. Negli ultimi cinque anni abbiamo lavorato per trovare e correggere le vulnerabilità in Linux. Le passate osservazioni con il processo di patch ci avevano motivato a studiare e affrontare anche i problemi con il processo di patch stesso. Questo incidente in corso ha causato molta rabbia nella comunità Linux verso di noi, il gruppo di ricerca e l’Università del Minnesota. Ci scusiamo incondizionatamente per ciò che ora riconosciamo come una violazione della fiducia condivisa nella comunità open source e chiediamo perdono per i nostri passi falsi.
Cerchiamo di ricostruire il rapporto con la Linux Foundation e la comunità Linux da un luogo di umiltà per creare una base dalla quale, speriamo, possiamo ancora una volta contribuire al nostro obiettivo condiviso di migliorare la qualità e la sicurezza del software Linux. Lavoreremo con il nostro dipartimento mentre sviluppano nuova formazione e supporto per docenti e studenti che cercano di condurre ricerche su progetti open source, siti di produzione tra pari e altre comunità online. Ci impegniamo a seguire le migliori pratiche per la ricerca collaborativa consultando i leader della comunità e i membri sulla natura dei nostri progetti di ricerca e assicurandoci che il nostro lavoro soddisfi non solo i requisiti dell’IRB ma anche le aspettative che la comunità ci ha espresso in la scia di questo incidente.
Sebbene questo problema sia stato doloroso anche per noi, e siamo sinceramente dispiaciuti per il lavoro extra che la comunità del kernel Linux ha intrapreso, abbiamo imparato alcune importanti lezioni sulla ricerca con la comunità open source da questo incidente. Possiamo e faremo meglio e crediamo di avere molto da contribuire in futuro e lavoreremo duramente per riconquistare la tua fiducia.
Cordiali saluti,
Kangjie Lu, Qiushi Wu e Aditya Pakki
Università del Minnesota
Puoi trovare la lettera di scuse completa qui.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.