Разработчики из Университета Миннесоты намеренно внедряли уязвимости в ядро Linux. Их разоблачили и забанили

Авторы со всего мира и из разных областей ежедневно отправляют большое количество исправлений разработчикам ядра Linux, чтобы они были проверены перед их объединением с деревом ядра Linux. Эти патчи могут помочь исправить ошибку или незначительную проблему в ядре или ввести новую функцию. Однако недавно некоторые участники были пойманы, пытаясь скрытно отправить исправления, содержащие уязвимости безопасности ядра Linux. 

Вред во имя науки

Исследователи из университета Миннесоты готовили исследовательскую работу «О возможности негласного внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью злонамеренных действий». Они использовали ядро Linux в качестве одного из своих основных экспериментов из-за его хорошо известной репутации и адаптации во всем мире. 

Исследователи представили патчи, которые, похоже, не полностью исправляли проблемы в ядре, но также не сразу представляли уязвимость в системе безопасности. Некоторые из этих патчей, которые они отправили в ядро, были успешно объединены с деревом ядра Linux. 

Публичное унижение

21 апреля они были пойманы разработчиками ядра Linux. В электронном письме одного из основных специалистов по сопровождению ядра Linux Грега Кроа-Хартмана был раскрыт их подход, и их так называемые «патчи для новичков» были устранены. Вероятно, Грегу и ряду других сопровождающих ядра это не понравилось, поскольку такого рода эксперименты отнимают их время и усилия и заставляют людей участвовать в разработке ядра. Вот что он написал: 

«Нашему сообществу не нравится, когда над ним «экспериментируют» и «проводят тесты», отправляя неизвестные исправления, которые либо намеренно ничего не делают, либо намеренно вносят ошибки. Предлагаю вам найти другое сообщество для проведения ваших «экспериментов». Вам здесь не рады»

Также Грег объявил, что ядро Linux запретит все взносы из университета Миннесоты, и что все патчи, которые они ранее отправляли, также будут удалены из ядра, и в будущем от них не будут приниматься новые.

Коэффициент одобрения кода

Исследовательская работа разработчиков университета Миннесоты была опубликована еще в феврале 2021. В документе раскрывается подход и методы, которые команда использовала для устранения уязвимостей, внедренных в ядро Linux и другие проекты с открытым исходным кодом. 

В свою защиту исследователи из университета Миннесоты заявили, что большинство уязвимостей, которые они тайно пытались внедрить в различные проекты с открытым исходным кодом, были успешно приняты в среднем примерно на 60%. 

Коэффициент одобрения кода

Пока неясно, какие еще проекты они пытались захватить, и каково фактическое количество уязвимостей, которое им удалось внедрить в различные проекты с открытым исходным кодом. 

Что вы думаете об этом подходе? Считаете ли вы, что позиция исследователя была оправдана в пользу науки и безопасности? Или вы думаете, что разработчики ядра Linux были правы, запретив им доступ к ядру, и что такой подход не следует поощрять? Пишите свое мнение в комментарии.