
A principios de esta semana, Greg Kroah-Hartman del equipo de exposición del kernel de Linux de la Universidad de Minnesota prohibió las contribuciones posteriormente de que los investigadores presentaran «parches descaradamente falsos» que se cree que son parte de un plan de investigación sobre código defectuoso.
Hoy, el profesor a cargo de este plan y dos de sus investigadores enviaron un correo electrónico a la cinta de correo del kernel de Linux diciendo que «se disculpan sinceramente por cualquier daño que nuestro género de investigación haya hecho a la comunidad del kernel de Linux».
Nuestro objetivo era identificar problemas con el proceso de aplicación de parches y cómo solucionarlos, y lamentamos profundamente que la metodología utilizada en el documento Hypocritical Commits fuera inadecuada. Como nos han señalado muchos observadores, cometimos un error al no encontrar una forma de consultar a la comunidad y obtener permiso antiguamente de realizar este estudio; Hicimos esto porque sabíamos que no podíamos pedir permiso a los mantenedores de Linux o estarían buscando los parches hipócritas. Aunque nuestro objetivo era mejorar la seguridad de Linux, ahora entendemos que fue perjudicial para la comunidad convertirlo en un tema de nuestra investigación y desperdiciar su esfuerzo revisando estos parches sin su conocimiento o permiso.
Solo queremos que sepa que nunca dañaremos intencionalmente a la comunidad del kernel de Linux y nunca introduciremos agujeros de seguridad. Nuestro trabajo se ha realizado con las mejores intenciones y tournée en torno a la búsqueda y reparación de vulnerabilidades … Somos un género de investigación cuyas carreras se dedican a mejorar el kernel de Linux. Hemos estado trabajando para encontrar y parchear vulnerabilidades en Linux durante cinco primaveras …
Este incidente flamante provocó una gran ira en la comunidad de Linux alrededor de nosotros, el género de investigación y la Universidad de Minnesota. Nos disculpamos incondicionalmente por romper la confianza mutua en la comunidad de código rajado y pedimos perdón por nuestros errores. Estamos tratando de restablecer la relación con la Fundación Linux y la comunidad Linux desde un área de humildad para crear una pulvínulo desde la cual esperamos poder contribuir nuevamente a nuestro objetivo global, la calidad y seguridad de Linux Mejorando el software … Estamos comprometido a seguir las mejores prácticas de investigación colaborativa consultando con líderes y miembros de la comunidad sobre la naturaleza de nuestros proyectos de investigación y asegurando que nuestro trabajo no solo cumpla con los requisitos de la Asociación de Revisión Institucional, sino que incluso corresponda a las expectativas que la comunidad nos formuló posteriormente de esto incidente.
Si correctamente este problema incluso fue doloroso para nosotros, y lamentamos sinceramente el trabajo adicional de la comunidad del kernel de Linux, hemos extraído algunas lecciones importantes de este incidente para la investigación con la comunidad de código rajado. Podemos hacerlo mejor y lo haremos mejor, y creemos que podemos hacer mucho en el futuro y trabajaremos duro para recuperar su confianza.
Su correo electrónico incluso indica que su trabajo funcionó. No Introduce vulnerabilidades en el código de Linux. («Los tres parches incorrectos se discutieron y se detuvieron en un tablero de mensajes de Linux durante el intercambio y nunca se pasaron al código»).
Y el correo electrónico incluso aclara que su investigación no se realizó hasta agosto de 2020, y “Los otros 190 parches que se han revertido y reevaluado se enviaron como parte de otros proyectos y como un servicio comunitario; no tienen nadie que ver con el documento de «compromisos hipócritas». Esos 190 parches fueron en respuesta a errores reales en el código y todos eran correctos, por lo que sabemos, cuando los enviamos … Nuestros parches más recientes en abril de 2021 no son parte de los «hipócritas comete». Siquiera papel.
ACTUALIZACIÓN (25/4): A última hora de la tinieblas del sábado, Greg Kroah-Hartman del Kernel Team declinó la disculpa, diciendo que «La Fundación Linux y la Asociación Asesora Técnica de la Fundación Linux enviaron a su universidad una carta el viernes describiendo las acciones específicas que se tomarán para su género y su universidad. necesario para recuperar la confianza de la comunidad del kernel de Linux.
«Hasta que no se tomen estas medidas, no tenemos nadie más que discutir sobre este asunto».