21 апреля 2021 года Грег Кроа-Хартман, второй человек в команде разработки ядра Linux, объявил, что они блокируют все коммиты от Университета Миннесоты. Разбираемся, как же это вышло.
...
2020 году доцент факультета информатики и вычислительной техники Университета Миннесоты по фамилии Лю (Kangjie Lu) и аспирант Американского колледжа Ву (Qiushi Wu) опубликовали статью «О возможности скрытного внедрения уязвимостей в ПО с открытым исходным кодом через ложные коммиты».
Авторы рассказали, как попытались добавить несколько уязвимостей в ядро Linux. Они отправили несколько коммитов, которые выглядели как заплатки для реальных багов. Лю и Ву утверждали — это всего лишь исследовательская работа: мол, они просто хотели обнаружить проблемы в процессе разработки ПО с открытым кодом и никто из команды ядра Linux об их планах не знал.
Учёные пишут, что уязвимости не попали в финальный код Linux, а все ложные патчи комьюнити обнаружило и отсеяло ещё в процессе обсуждения коммитов. При этом Кроа-Хартман утверждает, что один патч всё же попал в репозитории, хотя и не принёс никакого вреда.
...
Фактически Ву и Лю атаковали не столько сообщество разработчиков, сколько саму философию — ведь пользователь Linux по умолчанию доверяет разработчикам ядра."Open source даже по определению зависит от живого сообщества. Должны быть люди, которые пишут код, документируют код, используют код и дают обратную связь, чтобы постоянно улучшать код. То есть ПО зависит от усилий множества людей — и тут не обойтись без определённого кредита доверия самой системе разработки… Если кто-то подрывает это доверие, это вредит всей системе."
-- ГРЕГ СКОТТ, разработчик open source с 20-летним стажем, из комментария изданию Gamers Grade
..."Университет может восстановить доверие, принеся искренние, а не для галочки, извинения и, возможно, отправив ящик пива нужным людям."
-- ГРЕГ СКОТТ, из комментария изданию The Verge
Comments (4)
Shmuel Leib Melamud А можно как-то делать вложенное цитирование?
Да, с помощью тега
<blockquote>
.Спасибо. Мне следовало бы догадаться самому, я ведь знаю, что HTML-теги вместе с маркдауном работают.
За такое в приличном обществе тупо ебло разбивают...