O estudante de doutorado Qiushi Wu e o professor assistente Kangjie Lu, ambos da universidade de Minnesota decidiram realizar uma “experiência” que prejudicou a imagem da instituição perante os mantenedores do Kernel Linux.
Querendo provar que os softwares de código aberto podem ser suscetíveis a receber contribuições que infiltram vulnerabilidades conhecidas no software, escolheram alvos para provar essa teoria, sendo que um deles foi o kernel Linux.
É bastante incomum ver um projeto banir um contribuidor, quer saber mais sobre o que aconteceu? Então prepare sua bebida favorita, sente-se confortavelmente e vamos falar sobre a universidade de Minnesota.
Um estudo de mal gosto
Para provar seu ponto, a dupla enviou de forma intencional um commit no Git do Kernel Linux com uma vulnerabilidade conhecida, sem avisar alguma pessoa engajada no projeto sobre esse experimento.
Segundo os mantenedores do kernel, esse tipo de experimento não é algo inédito e vários softwares livres (e até mesmo pessoas) sofrem com essas atitudes de mal gosto, porque deixam de dedicar seu tempo onde poderiam realizar uma atividade para participar involuntariamente de testes.
Embora as comunidades de código aberto não costumam rejeitar estes estudos, a abordagem dos pesquisadores irritou os mantenedores do Kernel, já que ninguém foi avisado sobre o experimento.
Punindo a universidade de Minnesota
Em fevereiro de 2021, a pesquisa foi publicada e esse assunto veio à tona. Greg Kroah-Hartman, um dos principais mantenedores do Kernel Linux decidiu agir e anunciou a decisão de banir as contribuições realizadas por desenvolvedores ligados à instituição.
Commits de endereços @umn.edu enviados de “má-fé” para testar a capacidade da comunidade de revisar ‘mudanças maliciosas’ conhecidas foram encontradas.
Greg Kroah-Hartman
Por causa disso, todas as contribuições vindas desse grupo devem ser retiradas da árvore do kernel e nós devemos revisá-las novamente para garantir que elas são correções válidas.
Essa decisão não foi tomada de imediato, já que na lista de discussão do kernel, Greg pediu que os membros da universidade de Minnesota parassem de submeter códigos “suspeitos” ao projeto.
Aditya Pakki, um dos membros da universidade respondeu dizendo que Greg estava fazendo acusações caluniosas e que não iria mais enviar nenhum código por conta dessa atitude, tida por ele como “intimidadora para iniciantes e não especialistas”.
A mensagem de Aditya foi a gota d’água para Greg que respondeu com a sentença final.
Você e seu grupo admitiram publicamente que enviaram códigos vulneráveis para descobrir como a comunidade do kernel reagiria sobre isso e publicaram um paper com base nesse trabalho.
Greg Kroah-Hartman
Agora vocês submetem uma série de novos códigos obviamente incorretos. O que eu devo pensar de uma coisa dessas?
Por causa disso, agora eu tenho que banir todos as futuras contribuições da sua universidade e remover contribuições anteriores, pois é óbvio que elas foram enviadas de má-fé com a intenção de causar problemas.
Uma atitude sem perdão?
Após a decisão dos mantenedores do Kernel, a universidade de Minnesota divulgou uma carta aberta à comunidade onde pedem desculpas pelo ocorrido, porém, o texto teve uma recepção fria.
Kangjie Lu, Qiushi Wu e Aditya Pakki, os integrantes da instituição e protagonistas da história, explicaram na carta que não avisaram os mantenedores sobre esse estudo, pois isso iria alterar a rotina de revisão padrão e eles estariam focados em procurar as vulnerabilidades inseridas nas correções.
Também ressaltaram que o Linux não chegou a ficar vulnerável, porque as “correções” tiveram sua implementação interrompida.
O trio também argumentou que as 190 correções enviadas pelos membros da instituição que foram revertidos ou reavaliados como parte da punição eram legítimas e não tinham relação com o experimento.
A Linux Foundation enviou uma carta à universidade de Minnesota descrevendo algumas ações a serem tomadas para que a instituição reconquiste a confiança da comunidade. “Enquanto essas ações não forem executadas, não teremos nada mais a discutir sobre o assunto”, finalizou Kroah-Hartman.
Considerações finais
Cá entre nós, eu não acredito que a confiança na instituição será totalmente recuperada e nem sei se deveria ser. O simples fato de quase deixar o kernel vulnerável de forma intencional é algo que não irritou apenas aos mantenedores, mas também toda a comunidade.
Mesmo sendo um experimento, os perigos são reais e isso afetou diretamente a equipe que teve que deixar de prosseguir com o desenvolvimento para revisar todas as contribuições que foram realizadas ao longo dos anos.
O que você acha dessa situação? O que você faria? Deixe sua opinião nos comentários e até o próximo artigo!
