О чем говорит эксперимент Миннесотского университета по внедрению уязвимостей в Linux?
Замок CC0 pxhere.com
В комментарии под заметкой Блеск и нищета «Эльбрусов». Почему эти процессоры нужны и в чем их слабость товарищ vedomir_li высказал мнение, что эксперимент одной из команд Миннесотского университета с ОС Linux показывает что «закладки как раз выявили и заблокировали».
На мой взгляд это не так, а эксперимент очень важный, хоть и близок к «опытам на людях», поэтому решил вынести в небольшую заметку.
Краткая история эксперимента
Разработчики ПО из Университета Миннесоты выявляли потенциальные уязвимости в коде ядра ОС Linux. В 2020 году одна из команд разработчиков решила поставить эксперимент. Они стали внедрять в предлагаемые изменения скрытые уязвимости.
После того, как в феврале 2021 года была опубликована работа, согласно которой 60% предложенных изменений с сознательными уязвимостями было одобрено, возник скандал. Скандал привел к блокировке всех изменений, предложенных Миннесотским университетом.
Эксперимент говорит о том, что открытость ПО не значит отсутствия закладок
Поскольку проблема была выявлена только после публикации работы и множества изменений со скрытыми уязвимостями, эксперимент можно считать успешным. Он показывает, что любой сколь-нибудь доверенный разработчик (или команда) может внедрить в открытое ПО закладку. Далеко не факт, что она будет выявлена оперативно.