Linux e l'Università del Minnesota: l'analisi del Technical Advisory Board
Dopo le parole di Linus Torvalds sulla querelle tra Greg Kroah-Hartman e l’università del Minnesota, rea di aver inviato appositamente patch contenenti vulnerabilità per scrivere un paper a riguardo, oggi possiamo finalmente dare uno sguardo ai freddi numeri. Sì perché il Technical Advisory Board (TAB), organo che governa lo sviluppo del kernel Linux, ha fatto il punto della situazione.
Linux e UMN, parla il TAB
Attraverso un messaggio alla Linux Kernel Mailing List (LKML), il TAB della Linux Foundation, coadiuvato da sviluppatori e manutentori senior del kernel, ha riferito ciò che è emerso dopo l’analisi delle patch proposte negli anni dalla University of Minnesota (UMN). Vi ricordo che Greg Kroah-Hartman ha deciso di rimuovere qualsiasi commit proposto da studenti o dipendenti dell’UMN, impedendo l’invio di nuovi commit d’ora in avanti. Ben 435 commit sono stati riesaminati:
La stragrande maggioranza dei commit esaminati è risultata corretta.
Degli altri, 39 commit sono risultati errati, 25 sono stati risolti da commit successivi, 9 sono stati proposti prima della vicenda e ritirati dagli autori stessi. Sono ben cinque le modifiche deliberatamente errate inviate dall’UMN, secondo il Board.
Queste modifiche sono state inviate utilizzando due identità false, il che è contrario ai prinicipi cui attenersi per contribuire al kernel Linux. L’Università sembra aver consentito ai ricercatori di utilizzare identità false quando hanno accettato il ‘Developers Certificate of Origin’, una dichiarazione legale che riguarda il lavoro svolto.
La revisione funziona
Tuttavia, a differenza di quanto affermato dai ricercatori, Qiushi Wu e Aditya Pakki, e dal loro consulente, Kangjie Lu, nel paper “Sulla fattibilità dell’introduzione furtiva di vulnerabilità nel software open-source tramite commits” il TAB riporta in modo chiaro e dettagliato che
Tutte le patch non valide o fallate sono state rilevate e ignorate dagli sviluppatori e dai manutentori del kernel Linux. I nostri processi di revisione delle patch hanno funzionato come previsto.
Anche se non sono state trovate nuove falle gli sviluppatori del kernel hanno ritenuto che questa enorme revisione del codice dovesse essere fatta.
Dovevamo essere scrupolosi perché c’era una minima possibilità, non importa quanto piccola, che codice deliberatamente corrotto avesse passato le revisioni.
L’università, messa alle strette, ha pubblicato un documento dal titolo “A Full Disclosure of the Case Study of the Hypocrite Commits Paper” in cui svela gli indirizzi e-mail falsi utilizzati per la ricerca e tutti i dettagli sulle patch corrotte, compresi gli scambi di e-mail intercorsi.
Apertura
Guardando al futuro, la comunità Linux vuole lavorare di nuovo con l’UMN. A patto che la scuola si impegni a migliorare “la qualità delle patch che vengono proposte per essere incluse nel kernel”. Nello specifico, la fiducia nei confronti dell’UMN è andata persa per questo il TAB richiede che venga designato un gruppo di sviluppatori interni esperti, al fine di esaminare e fornire feedback sulle modifiche proposte al kernel prima che tali modifiche vengano presentate pubblicamente. Il risultato atteso è un flusso di patch di qualità superiore. Fino a quando queste richieste non saranno esaudite le patch dell’UMN continueranno a trovare una “fredda accoglienza”.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.