Сказать, что разработчики ядра Linux недовольны парой аспирантов Университета Миннесоты (UMN), которые пытаются внедрить уязвимости безопасности в ядро Linux для целей исследовательской статьи «О возможности скрытого внедрения уязвимостей в Open- Исходное программное обеспечение через Hypocrite Commits "- явное преуменьшение.
Грег Кроа-Хартман, сопровождающий ядра Linux в стабильной ветке, известный как самый щедрый и доброжелательный из сопровождающих ядра Linux, взорвался и запретил разработчикам UMN работать над ядром Linux. Это произошло потому, что их исправления были «явно отправлены недобросовестно с намерением вызвать проблемы».
Исследователи, Цюши Ву и Адитья Пакки, и их научный руководитель Канцзе Лу, доцент кафедры компьютерных наук и инженерии UMN, затем извинились за свои грубые ошибки ядра Linux.
Этого недостаточно. Разработчики ядра Linux и Технический консультативный совет Linux Foundation через Linux Foundation попросили UMN предпринять определенные действия, прежде чем их сотрудникам снова будет разрешено вносить свой вклад в Linux. Теперь мы знаем, каковы эти требования.
Письмо от Майка Долана, старшего вице-президента Linux Foundation и генерального менеджера проектов, начинается:
Мы обратили внимание на то, что некоторые исследователи из Университета Миннесоты (U of MN) появляются экспериментировать на людях, особенно на разработчиках ядра Linux, без предварительного уведомления или согласия этих разработчиков. Это было сделано путем внесения известного уязвимого кода в широко используемое ядро Linux в рамках работы «О возможности скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью лицемерных коммитов»; также могут быть задействованы другие документы и проекты. Похоже, что эти эксперименты проводились без предварительного рассмотрения или одобрения Институциональным контрольным советом (IRB), что неприемлемо, и постфактум обзор IRB одобрил эти эксперименты на тех, кто не дал согласия.
Это правильно. Ву и Лу открыли свою записку для UMN IRB, заявив: «Мы недавно закончили работу по изучению процесса исправления OSS». Они спросили разрешения у IRB только после того, как разместили тезисы статьи в Твиттере. Затем, после того как они признали, что публикация реферата вызвала «бурную дискуссию и сопротивление», они удалили реферат и извинились перед IRB за то, что вызвали «множество недоразумений и недоразумений».
Хотя IRB, похоже, одобрил это исследование, сообщество ядра Linux не было в курсе. Исследователи утверждают, что разговаривали с людьми из сообщества Linux, но их имена так и не называются. Отсюда и реакция Кроа-Хартмана, когда ему снова представили «бессмысленные патчи» и еще одну попытку зря тратить время разработчиков ядра Linux, «продолжая экспериментировать с разработчиками сообщества ядра».
Долан продолжил:
Мы поощряем и приветствуем исследования по улучшению безопасности и процессов проверки безопасности. В процессе разработки ядра Linux предпринимаются шаги по проверке кода для предотвращения дефектов. Однако мы считаем, что эксперименты над людьми без их согласия неэтичны и, вероятно, связаны со многими юридическими проблемами. Люди — неотъемлемая часть процесса проверки и разработки программного обеспечения. Разработчики ядра Linux не являются объектами тестирования, и их нельзя рассматривать как таковых.
Это важный момент. Вначале исследователи утверждают в своих часто задаваемых вопросах IRB: «Это не считается исследованием на людях. В этом проекте изучаются некоторые проблемы с процессом установки исправлений, а не индивидуальное поведение, и мы не собирали никакой личной информации».
Однако в следующем абзаце исследователи UMN отказываются от этого утверждения.
«На протяжении всего исследования мы, честно говоря, не думали, что это исследование на людях, поэтому мы не подавали заявку на Утверждение IRB вначале. Мы приносим свои извинения за поднятые вопросы. Это важный урок, который мы усвоили — не доверяйте себе при определении исследований на людях; всегда обращайтесь к IRB, если в исследовании могут участвовать люди в любой форме ».
Долан продолжал:
Это также зря потратило драгоценное время и поставило под угрозу миллиарды людей во всем мире, которые зависят от их результатов. В то время как исследователи U of MN утверждали, что предприняли шаги для предотвращения включения уязвимостей в окончательную версию программного обеспечения, их неспособность получить согласие свидетельствует о недостаточном внимании. Есть также усиленные последствия, потому что изменения ядра Linux подхватываются многими другими последующими проектами, которые строятся на базе кода ядра.
Тогда мы понимаем суть вопроса. Хотя Долан сказал, что извинения исследователей UMN были многообещающими, сообществу Linux нужно больше. Или, как прямо заявил Кроа-Харман:
Как вы знаете, Linux Foundation и Технический консультативный совет Linux Foundation направили в пятницу письмо в ваш университет с изложением конкретных действий, которые необходимо выполнить для того, чтобы для вашей группы и вашего университета, чтобы они смогли восстановить доверие сообщества ядра Linux.
Пока не будут предприняты эти действия, нам больше нечего обсуждать по этому поводу.
Эти «запросы»:
Пожалуйста, предоставьте общественности в ускоренном порядке всю информацию, необходимую для идентификации всех предложений известного уязвимого кода от любого U эксперимента МН. Информация должна включать название каждого целевого программного обеспечения, информацию о фиксации, предполагаемое имя предлагающего, адрес электронной почты, дату / время, тему и / или код, чтобы все разработчики программного обеспечения могли быстро идентифицировать такие предложения и потенциально предпринять корректирующие действия. для таких экспериментов.
Найти весь этот код — настоящая проблема. Старший разработчик ядра Linux, Аль Виро, обнаруживший первый апрельский фиктивный патч, отметил: «Отсутствие данных — это часть того, что раздувает все это до непропорциональности — если они потрудились прикрепить список (или ссылку на него). SHA1 коммитов, которые возникли в результате их эксперимента, или, что еще лучше, поддерживали и предоставляли список идентификаторов сообщений всех отправок, успешных и неудачных, этот беспорядок с общими запросами на возврат и т. д. был бы намного меньше ( если вообще случилось) ".
В настоящее время разработчики и коммиттеры Linux тратят время на пересмотр нескольких сотен исправлений ядра UMN Linux. Они не удивлены.
Долан попросил изъять статью «из формальной публикации и формального представления всей исследовательской работы, основанной на этом или аналогичном исследовании, где люди, по-видимому, подвергались экспериментам без их предварительного согласия. Оставив архивную информацию, размещенную на в Интернете все в порядке, так как они в большинстве своем уже общедоступны, но нельзя допускать никаких исследований для таких работ ».
Благодаря часто задаваемым вопросам, представленным в статье, мы уже знаем, что она была принята к публикации на симпозиуме IEEE. по безопасности и конфиденциальности (IEEE S&P) 2021. Это ведущий форум для исследователей компьютерной безопасности. Виртуальная встреча 2021 года состоится в ближайшее время с 23 по 27 мая. UMN еще не сообщила, будет ли она отозвана.
Долан настаивал на том, чтобы дальнейшие эксперименты UMN на людях прошли проверку IRB до начала эксперимента. .
«Обеспечьте, чтобы все будущие обзоры IRB предложенных экспериментов на людях, как правило, обеспечивали согласие тех, над которыми проводятся эксперименты, в соответствии с обычными исследовательскими нормами и законами», — сказал он.
В настоящее время, UMN не ответила на наш запрос о предоставлении информации о планах школы.
Смысл всего этого, по словам Долана, состоит в том, чтобы «устранить весь потенциальный и воспринимаемый ущерб от этих действий, исключить любую предполагаемую выгоду от таких действий и предотвратить их повторение. Мы надеемся увидеть продуктивные, уместные открытые исходные коды в будущем от ваших студентов и преподавателей, как мы видели в предыдущие годы от вашего учреждения ".
Linux Foundation хочет, чтобы школа ответила на эти запросы как можно скорее. Сопровождающие Linux также хотят знать, что к чему с патчами UMN, чтобы они могли их найти и двигаться дальше. Они предпочли бы работать над улучшением Linux, чем преследовать возможные намеренно внесенные ошибки.
Пока ничего не найдено. Но когда вам поручено поддерживать самую важную операционную систему на планете, лучше перестраховаться.
Истории по теме:
