Пара CS-студентов из Университета Миннесоты в США захотела проверить бдительность разработчиков ядра Linux, сознательно отправив на принятие сомнительный код. Идея зашла немного далеко, и теперь представителям их альма-матер вообще нельзя предлагать изменения в ядро, пишет The Register.
Два докторанта факультета компьютерных наук решили внедрить в ядро use-after-free ошибки, которые связаны с некорректным использованием динамической памяти. Сделано это было исключительно в научных целях для исследования под названием On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits, или какова вероятность, что у вас получится незаметно внедрить уязвимости в опенсорсный софт через подставные коммиты.
В работе, целью которой было вскрыть слабые стороны процесса разработки ядра, авторы рассказывают, как выполняли «операцию». По их словам, впоследствии они связались с мейнтейнерами Linux, чтобы их код не попал официальный релиз.
Но позже аналогичные недобросовестные патчи разработчикам стали поступать от других исследователей университета. И это очень рассердило команду Linux.
«Нашему сообществу не нравится, что на нас ставят эксперименты и „испытывают“, отправляя патчи, которые либо заведомо бесполезны, либо заведомо внедряют баги», — написал один из главных сопровождающих разработчиков ядра Linux Грег Кроа-Хартман.
Он посоветовал учёным найти других подопытных кроликов и запретил кому-либо из Миннесотского университета делать дальнейший вклад в развитие ядра. Более того, Кроа-Хартман предложил удалить из него весь код, предложенный с почтовых адресов вуза.
Впрочем, мнения сообщества по поводу суровости наказания разделились. Некоторые посчитали его слишком горячим и огульным, добавив, что проблемы безопасности в подходах к разработке ядра есть, а исследование действительно представляет ценность.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.