Los mantenedores de proyectos del kernel de Linux han prohibido a la Universidad de Minnesota (UMN) contribuir al proyecto Linux después de que dos estudiantes presentaran intencionalmente código defectuoso con fines de investigación.
En febrero, dos estudiantes graduados de la Universidad de Minnesota publicaron un artículo titulado "Sobre la viabilidad de introducir sigilosamente vulnerabilidades en el software de código abierto a través de confirmaciones hipócritas", que se centró en introducir deliberadamente vulnerabilidades de seguridad conocidas en el kernel de Linux, mediante el envío de parches de código maliciosos o inseguros. Como parte de la investigación, los autores del artículo introdujeron intencionalmente errores de uso después de la libertad en el kernel de Linux.
Sin embargo, incluso después de que se publicara este artículo, los investigadores presentaron una nueva ronda de "parches obviamente incorrectos" que dicen provenir de "un nuevo analizador estático" que "obviamente ni siquiera arregla nada en absoluto". Esto molestó a Greg Kroah-Hartman, el mantenedor del kernel de Linux para la rama estable, hasta tal punto que ha decidido prohibir todas las contribuciones futuras de UMN.
Debido a las críticas públicas, Aditya Pakki, estudiante de doctorado en Ciencias de la Computación e Ingeniería en la UMN, trató de culpar a la actitud del mantenedor del núcleo.
"Estos parches fueron enviados como parte de un nuevo analizador estático que escribí y su sensibilidad obviamente no es grande. Envié parches con la esperanza de obtener comentarios. No somos expertos en el núcleo linux y hacer repetidamente estas declaraciones es desagradable de escuchar.
Obviamente, es un paso equivocado, pero sus sesgos preconcebidos son tan fuertes que usted hace acusaciones sin mérito ni nos da ningún beneficio de duda. No enviaré más parches debido a la actitud que no sólo es inoportuna, sino también intimidante para los novatos y los no expertos", escribió Aditya Pakki.
A lo que Kroah-Hartman respondió:
"Usted, y su grupo, han admitido públicamente haber enviado parches conocidos para ver cómo reaccionaría la comunidad del núcleo ante ellos, y han publicado un artículo basado en ese trabajo.
Ahora envías una nueva serie de parches obviamente incorrectos de nuevo, así que ¿qué se supone que se me ocurra tal cosa?
Al enviar parches creados por una herramienta, todos los que lo hacen los envían con palabras como "encontrados por la herramienta XXX, no estamos seguros de si esto es correcto o no, por favor aconsejen." que no es lo que hizo aquí en absoluto. No estabas pidiendo ayuda, estabas afirmando que eran correcciones legítimas, que sabías que eran incorrectas".
"Nuestra comunidad no aprecia ser experimentado, y ser "probado" mediante el envío de parches conocidos que no hacen nada a propósito, o introducir errores a propósito. Si desea hacer un trabajo como este, le sugiero que encuentre una comunidad diferente para ejecutar sus experimentos, usted no es bienvenido aquí.
Debido a esto, ahora tendré que prohibir todas las contribuciones futuras de su Universidad y arrancar sus contribuciones anteriores, ya que obviamente fueron presentadas de mala fe con la intención de causar problemas", continuó.
En un comunicado sobre la situación, los funcionarios de la UMN dijeron que "nos tomamos esta situación muy en serio. Hemos suspendido inmediatamente esta línea de investigación. Investigaremos el método de investigación y el proceso por el cual se aprobó este método de investigación, determinaremos las medidas correctivas apropiadas y salvaguardaremos las cuestiones futuras, si es necesario. Informaremos de nuestros hallazgos a la comunidad tan pronto como sea práctico".
