Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.
В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.
===
Перевожу на русский. Что произошло.
Линукс пишут типа всем миром, любой может прислать исправления в проект. В команде разработки сидят специальные люди, которые проверяют и тестируют исправления от таких вот анонимусов. И вот, два васяна прислали патчи с заранее встроенными уязвимостями, и они мало того, что не были найдены, а были приняты и отправлены в продакшн, об этих уязвимостях команде разработчиков сообщили сами васяны. Т.е. уязвимости так и не были найдены.
В ответ разработчики встали в позу обиженок и анально огородились.
Реальность линукса, ув. друзья, представляет собой горький катаклизм. Внезапно выяснилось, что любой васян может отправить в ядро любые бэкдоры и уязвимости, и они прокатывают. То есть хваленая безопасность линукса, как бы контролируемая сообществом, это лживый миф. А сколько таких бэкдоров и уязвимостей уже есть в ядре?
Неужели всё так и было задумано с самого начала?
Возникает интересный вопрос о реальных выгодоприобретателях этого бардака... Открытого и бесплатного линукса.
Комментарии
Автор а кто этого не знал ?
Былинный срач! Распечатки обсуждения разосланы по Госдепу США и внимательно изучаются. Сим повелеваю - внести запись в реестр самых обсуждаемых за неделю.
Страницы