Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.
Перевожу на русский. Что произошло.
Линукс пишут всем миром (но по факту 90% исправлений вносит персонал 10 крупнейших ИТ компаний), любой разработчик может прислать исправления в проект. В команде разработки сидят специальные люди, которые проверяют и тестируют исправления от таких вот разработчиков. И вот, два разработчика прислали патчи с заранее встроенными уязвимостями, и они мало того, что не были найдены, а были приняты и отправлены в основной репозиторий, об этих уязвимостях команде разработчиков сообщили сами разработчики патчей. Т.е. уязвимости так и не были найдены.
В ответ разработчики ПО встали в позу и забанили всех разработчиков данного ВУЗа.
Реальность линукса, представляет собой конфликт интересов. Внезапно выяснилось, что любой разраб может отправить в ядро любые бэкдоры и уязвимости, и они прокатывают. То есть хваленая безопасность линукса, как бы контролируемая сообществом, это лживый миф. А сколько таких бэкдоров и уязвимостей уже есть в ядре?
Неужели всё так и было задумано с самого начала?
Возникает интересный вопрос о реальных выгодоприобретателях этого бардака... Открытого и бесплатного линукса.
Ранее на эту тему :
В 2011 году никому неизвестный разработчик пропатчил OpenSSL протокол и внёс бэкдор - уязвимость не была обнаружена до 2014 года - с помощью банного бэкдор можно было ломать Банки, платёжные сервисы, удалённый доступ к любым сайтам. Естественно этот протокол пристально анализировался спецслужбами, хакерами, сотрудниками антивирусных компаний и мошенникам и т.п. скорей всего кто то её нашёл раньше и эксплуатировал. но тем не менее в тщательно анализируемом критически важном коде бэкдор просуществовал 3,5 года!!