I ricercatori dell’Università del Minnesota si scusano con la comunità Linux

Another ICT Guy

I ricercatori dell’Università del Minnesota si scusano con la comunità Linux

Linux vs Università del Minnesota, atto terzo: le scuse. La nuova puntata del caso che ha infiammato la comunità open source negli ultimi giorni vede il pentimento dei ricercatori dell’ateneo, forse portati a questo gesto anche dall‘indagine interna avviata dal Dipartimento di Informatica dell’UNM. “Ci scusiamo sinceramente per qualsiasi danno arrecato dal nostro gruppo di ricerca alla comunità del kernel Linux”, esordiscono Kangjie Lu, Qiushi Wu e Aditya Pakki.

Si cospargono il capo di cenere gli autori dello studio volto a fotografare la risposta della comunità alla gestione delle patch per il kernel. Il caso si è creato perché i ricercatori hanno inviato commit ipocriti, ossia patch equivoche, potenzialmente pericolose o prive di valore, senza avvisare nessuno, rischiando quindi di mettere a rischio la sicurezza del kernel e, soprattutto, facendo perdere tempo ed energie ai manutentori.

“Il nostro obiettivo era identificare i problemi nel processo di aggiornamento e modi per affrontarli, e siamo molto dispiaciuti che il metodo utilizzato nel documento ‘hypocrite commits‘ fosse inappropriato. Come molti osservatori ci hanno fatto notare, abbiamo sbagliato a non trovare un modo per consultare la comunità e ottenere il permesso prima di svolgere questo studio; lo abbiamo fatto perché sapevamo che non potevamo chiedere a manutentori di Linux il permesso, o avrebbero riposto attenzione nella ricerca di commit ipocriti”.

“Mentre il nostro obiettivo era migliorare la sicurezza di Linux, ora sappiamo che era dannoso per la comunità renderla il soggetto della nostra ricerca e farle dilapidare sforzi nel rivedere queste patch senza la sua conoscenza o l’autorizzazione. Vogliamo solo che sappiate che non avremmo mai danneggiato intenzionalmente la comunità del kernel Linux e non abbiamo mai introdotto vulnerabilità di sicurezza. Il nostro lavoro è stato condotto con le migliori intenzioni e si concentrava nel trovare e risolvere falle di sicurezza”.

La lunga lettera aperta continua entrando nei dettagli di quanto avvenuto, ribadendo come non siano mai state effettivamente introdotte vulnerabilità nel codice (tre patch “dubbie” sono state bloccate prima) e che le altre 190 patch pubblicate dall’ateneo non hanno nulla a che fare con lo studio in oggetto, ma pensate per risolvere bug reali nel codice.

Si parla inoltre anche dalla seconda ondata di patch prive di valore, che sono poi state quelle che hanno fatto perdere le staffe ai mantainer del kernel: “le recenti patch dell’aprile 2021 non fanno parte del paper sui commit ipocriti. Stavamo portando avanti un nuovo progetto che mira a identificare automaticamente i bug introdotti da altre patch (non da noi). Le nostre patch sono state preparate e inviate per correggere i bug identificati seguendo regole della divulgazione responsabile e siamo felici di condividere dettagli di questo nuovo progetto con la comunità Linux”.

Questo incidente ha causato molta rabbia nella comunità Linux verso di noi, il gruppo di ricerca e l’Università del Minnesota. Ci scusiamo incondizionatamente per ciò che ora riconosciamo come una violazione della fiducia condivisa nella comunità open source e chiediamo perdono per i nostri passi falsi. Cerchiamo di ricostruire il rapporto con la Linux Foundation e la comunità da un principio di umiltà da cui creare una base da cui, speriamo, possiamo nuovamente contribuire al nostro comune obiettivo di migliorare la qualità e la sicurezza del software Linux”.

Caso chiuso? Arriverà il perdono di Greg Kroah-Hartman o i ricercatori dovranno scontare un periodo in purgatorio? Le risposte a queste domande alla prossima puntata.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *