O quanto é confiável, o kernel Linux e as distribuições que fazem o seu uso? Para muitos, a abertura do código-fonte é ao mesmo tempo, uma vantagem e desvantagem no que concerne a práticas de auditoria, para a busca de vulnerabilidades e falhas de segurança: todos podem procurar por falhas e explorá-las, ao mesmo tempo que também possibilita um maior número de pessoas realizar revisões sistemáticas e assim, garantir um código mais limpo e seguro…
“In a rare, groundbreaking decision, Linux kernel project maintainers have imposed a ban on the University of Minnesota (UMN) from contributing to the open-source Linux project. The move comes after a group of UMN researchers were caught submitting a series of malicious code commits, or patches that deliberately introduced security vulnerabilities in the official Linux codebase, as a part of their research activities. Additionally, the Linux kernel project maintainers have decided to revert any and all code commits that were ever submitted from an @umn.edu email addresses.”
— by Bleeping Computers.
A Universidade de Minnesota decidiu promover uma pesquisa em relação a (in)segurança do código-aberto, no que concerne a contribuições de terceiros. Os seus pesquisadores decidiram encaminhar atualizações com códigos maliciosos de forma proposital, com o objetivo de realizar demonstrações práticas de suas teses e comprovarem as suas afirmações. Porém, o que eles não contavam com a dura reação do principal mantenedor da árvore de desenvolvimento, Greg Kroah-Hartman: o banimento da universidade e o descarte de todas as contribuições (commits) realizadas por eles, além de publicar a sua firme posição em relação aos patches enviados “de má fé”!
O evento em questão abalou profundamente a imagem do projeto e sua comunidade de desenvolvedores, dando a entender que o sistema adotado para receber contribuições “não é tão seguro o quanto se pensava” e que os seus mantenedores “não são tão competentes e flexíveis, o quanto deveriam ser”. Por isto, ações energéticas foram tomadas para conter o impacto causado por estes pesquisadores e na minha opinião, Greg Kroah-Hartman tomou uma bela decisão! No entanto, alguns pesquisadores como Aditya Pakki questionaram a decisão, considerando as “acusações violentas e que beiram a calúnias”.
Além do impacto negativo, o evento também trouxe problemas para a equipe de desenvolvimento do kernel Linux, como o trabalho gerado pela necessidade de remover todas as contribuições feitas (mesmo aquelas enviadas antes das pesquisas), bem como bloquear as futuras contribuições destes pesquisadores. Além disso, também haverá um certo desgaste, para a correção dos bugs que possivelmente serão reintroduzidos no processo. Eis, a questão: seria este o momento ideal, para serem revistos os procedimentos que deverão ser adotados, para a aceitação de futuras contribuições?
Diz uma máxima que “facada nas costas, só levamos de amigos”… &;-D