Linus Torvalds parla del ‘caso Minnesota’: una violazione della fiducia


Chi si aspettava una reazione scomposta da parte di Linus Torvalds in merito al caso dell’Università del Minnesota rimarrà deluso. Il fumantino creatore del kernel non sembra voler entrare in una querelle che non solo ha portato al ban dell’ateneo dal contribuire al codice, ma anche alla rimozione di tutti i commit precedenti, anche quelli potenzialmente utili.

Non so davvero cosa dire, penso che il thread sia probabilmente l’informazione più rilevante”, ha detto Torvalds a iTWire riferendosi agli scambi tra i manutentori e i ricercatori dell’Università. “Non credo che sia stato un affare enorme dal punto di vista tecnico, ma la gente è incazzata, ed è ovviamente una violazione della fiducia“.

La vicenda, per chi non avesse letto questo articolo, è semplice: i ricercatori universitari Qiushi Wu e Kangjie Lu hanno dapprima inviato patch per il kernel che introducevano, in modo intenzionale, delle vulnerabilità di sicurezza in modo da misurare la reazione della comunità open source; in secondo luogo, sono stati inviati nuovi commit che, una volta analizzati, si sono dimostrati privi di alcune valore pratico.

I manutentori del kernel, come Greg Kroah-Hartman, già spazientiti per essere stati oggetti di studio hanno percepito la seconda ondata di patch come un ulteriore affronto e, ritenendo i ricercatori in malafede, hanno preso la decisione di bannare tutti i contributi giunti dall’Università. Questa reazione ha scatenato delle polemiche, tra chi la ritiene eccessiva e chi invece la vede come l’unica strada praticabile, almeno nell’immediato.

Ritengo che sia anche fastidioso“, ha aggiunto Torvalds, “perché la maggior parte delle patch sono valide (e quelle che non lo sono, sono generalmente ‘inutili’ piuttosto che ‘attivamente dannose’), quindi è fondamentalmente un’enorme perdita di tempo per le persone ritornare su quelle cose (le patch, ndr) solo perché una fonte ha dimostrato di non essere onesta”.

Anche l’Università è ovviamente intervenuta con un messaggio in cui Mats Heimdahl e Loren Terveen, a campo del Dipartimento di Informatica, hanno dichiarato di “prendere questa situazione molto seriamente. Abbiamo immediatamente sospeso questa linea di ricerca. Analizzeremo il metodo di ricerca e il processo con cui questo metodo di ricerca è stato approvato, determineremo le azioni correttive appropriate e le salvaguardie contro le questioni future, se necessario. Riferiremo le nostre scoperte alla comunità appena possibile”.

Nel frattempo, il membro del Technical Advisory Board della Linux Foundation Kees Cook ha scritto che “il comitato consultivo tecnico di LF sta esaminando la storia dei contributi di UMN e dei progetti di ricerca associati. Al momento, sembra che la stragrande maggioranza delle patch siano in buona fede, ma stiamo continuando a rivedere il lavoro”.





Source link