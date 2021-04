De onderzoekers van de University of Minnesota (UMN) die het patchproces van de Linux-kernel wilden onderzoeken door opzettelijk kwetsbare patches in te dienen hebben in een open brief aan de Linux-gemeenschap excuses voor hun onderzoek gemaakt. Vanwege het onderzoek besloten de Linux-ontwikkelaars dat de gehele universiteit niets meer mag bijdragen aan het Linux-project.

Vorig jaar november publiceerden de onderzoekers hun onderzoek genaamd "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" waarin ze lieten zien hoe een aanvaller via kleine patches kwetsbaarheden aan opensourceprojecten zou kunnen toevoegen. Het onderzoek zorgde voor felle kritiek. Nadat er onlangs weer buggy patches waren ingediend kwam de universiteit op de zwarte lijst te staan. Naar aanleiding van de ban kwam de universiteit zelf met een verklaring waarin het een onderzoek naar de gang van zaken aankondigde.

In de open brief maken de onderzoekers excuses voor hun onderzoek. Ze stellen dat ze alleen problemen met het patchproces van Linux wilden onderzoeken en een manier om die op te lossen. "We hebben een fout gemaakt door de gemeenschap voor het uitvoeren van het onderzoek niet om toestemming te vragen. We deden dit omdat we de Linux-maintainers niet om toestemming konden vragen, omdat ze anders naar de hypocriete patches zouden zoeken", aldus de onderzoekers. Die benadrukken dat door het onderzoek geen kwetsbaarheden in de Linux-code terecht zijn gekomen.

De laatste patches die de onderzoekers indienden staan los van het 'hypocrite commits' onderzoek en betreffen een nieuw project. "Hoewel ons doel was om de veiligheid van Linux te verbeteren, beseffen we nu dat het kwetsend voor de gemeenschap was om het een onderdeel van ons onderzoek te maken en diens inspanningen te verspillen bij het controleren van deze patches zonder dat het hiervan wist of om toestemming was gevraagd", stellen de onderzoekers verder. Ze vragen de Linux-gemeenschap om vergeving en willen de relatie met zowel de gemeenschap als de Linux Foundation herstellen.