Linux banned Universitas Minnesota untuk bisa berkontribusi pada proyek open source. Keputusan ini menjadi cukup langka yang sekaligus pertama kalinya harus dilakukan oleh Linux. Pasalnya pada kontribusi terbuka open source itu, sekelompok peneliti dari Universitas Minnesota terpantau memasukkan serangkaian patch yang berisi kode-kode berbahaya, atau bisa bisa membuka kerentanan keamanan.
Menurut pihak Universitas Minnesota, hal ini adalah bagian dari penelitian yang sedang mereka lakukan. Namun serangkaian patch berisi malicious code itu pada akhirnya harus segera dikembalikan dalam versi aslinya oleh pengelola kernel Linux.
Semua kontribusi dari pihak Minnesota, disebut dikirimkan melalui email @ umn.edu. Insiden ini membuat Greg Kroah-Hartman mengambil langkah untuk banned Universitas Minnesota. Tidak bisa lagi berkontribusi di proyek open source Linux.
Di bulan Februari 2021, tim dari Universitas Minnesota (UMN) juga menerbitkan sebuah makalah berjudul, “Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits”. Secara singkat, makalah itu sengaja untuk memperkenalkan kerentanan keamanan di kernel Linux, dengan cara mengirimkan commit atau perubahan, berisikan kode-kode berbahaya dan mengindikasikan kerentanan keamanan.
Salah satu peneliti dari Minnesota, Aditya Pakki lantas berupaya mendesak Kroah-Hartman untuk tidak tuduhan liar dan fitnah.
Greg,
Dengan hormat saya meminta anda untuk berhenti membuat tuduhan liar yang berbetasan dengan fitnah.
Patch yang terkitim adalah bagian dari penganalisa yang saya tulis dan sensitivitasnya jelas tidak bagus. Saya mengirim patch dengan harapan mendapat feedback. Kami bukan ahli dalam kernel linux dan berulang kali membuat pernyataan yang sebenarnya menjijikkan untuk didengar.
Jelas, ini adalah langkah yang salah, tetapi prasangka anda telah membentu opini kuat sehingga anda membuat tuduhan tanpa alasan tanpa memberikan kami keuntungan dari keraguan. Saya tidak akan mengirimkan patch lagi karena sikapnya yang tidak hanya disukai tetapi membahayakan bagi pemula dan bukan seorang ahli.
Pernyataan Aditya Pakki tersebut kemudian dibalas oleh Kroah-Hartman.
Jika anda ingin melakukan pekerjaan seperti ini, saya sarankan anda mencari komunitas berbeda lain untuk bisa menjalankan eksperimen anda, anda tidak diterima di sini.
Karena masalah ini, saya sekarang harus melarang semua kontribusi di masa mendatang dari Universitasmu dan mencabut semua kontribusi anda sebelumnya, karena jelas kontribusi itu dilakukan dengan itikad buruk dengan maksud untuk membuat masalah.
Kabarnya, para peneliti UMN juga telah berusaha dengan membuat dokumen FAQ yang berisi detil pernyataan dan tujuan penelitiannya tidak lain untuk meningkatkan keamanan proses patching dalam proyek open source dengan menunjukkan patch yang sekaligus memperkenalkan bug.
Pada halaman dokumen itu, commit apapun yang dikirim melalui email, tidak pernah berhasil masuk, maupun ke dalam kernel Linux. Upaya sanggahan yang coba dibuat peneliti UMN adalah dengan mengutip Universitas IRB, bahwa hal tersebut bukan penelitian berbahaya secara etis. Singkat kata, kegiatan dalam penelitian itu cukup jelas.
Namun nasi sudah menjadi bubur, meskipun para peneliti itu telah meminta maaf kepada pengelola Linux.
Peristiwa ini kemudian memancing pembicaraan lebih luas pada komunitas open source. Presiden Open Source Security Inc Brad Spengler ikut memberikan komentar, seperti yang dikutip dari BleepingComputer, Rabu (21/4/21).
Menurut Brad, reaksi pengelola kernel Linux dinilai cukup berlebihan. Alasannya tidak semua kontribusi dari UMN berbahaya. Brad menilai mengembalikan semua commit seperti asal mula sama saja berpotensi memunculkan bug kembali. Pengelola Linux pada dasarnya tidak perlu sampai mengembalikan semua commit yang telah lalu, cukup hanya pada commit yang berbahaya saja.
Discussion about this post