- 19,437
- 40
- 8 Ноя 2022
Торвальдс обнаружил в Git-истории неладное. И принялся за расследование…
Неожиданный инцидент всколыхнул разработчиков ядра Linux в минувшие выходные: во время слияния веток для релиза 6.16 Линус Торвальдс обнаружил в Git-истории подозрительную активность, которую воспринял как умышленное вмешательство со стороны давнего участника проекта — Киса Кука.
В субботу он выступил с жёстким сообщением в рассылке LKML, в котором потребовал объяснений и обвинил Кука в создании ложных коммитов от его имени. Один из них — поддельный Merge commit (коммит слияния), якобы от самого Торвальдса, но с неверным SHA1-хешем. Для просмотра ссылки Войдиили Зарегистрируйся , это выглядело не как ошибка при ребейзе, а как сознательная фальсификация:
«Ты, похоже, намеренно искажённо переписал своё дерево. Там есть абсолютно сумасшедшие коммиты, полностью выдуманные. Один из них заявляет, что сделан от моего имени, но это полная чушь. Это неприемлемо. Я не буду принимать от тебя ничего, пока ты не объяснишь, какого чёрта ты творил».
Он также обратился к администратору Константину Рябицеву с просьбой временно отключить доступ Кука к инфраструктуре kernel.org. Реакция последовала незамедлительно — доступ был заблокирован.
Сам Кук оказался не менее удивлён происходящим. Он начал восстанавливать патчи из чистой копии репозитория и разбираться в произошедшем. В последующем комментарии Торвальдс подчеркнул: объём и характер ложных коммитов исключают случайность. «Это были не один-два сбоя. Речь идёт о тысячах коммитов, переписанных каким-то безумным скриптом», — добавил он.
Позднее стало ясно, что причиной стали вспомогательные скрипты Кука, использующие git-filter-repo и b4 trailers — инструменты для обработки истории коммитов и подготовки патчей к рассылке. Их взаимодействие вызвало непреднамеренное искажение дерева Git, однако на данный момент признаков злого умысла не обнаружено.
Тем не менее, сбой серьёзно нарушил работу в рамках окна слияния ядра Linux 6.16 и поставил под сомнение надёжность автоматизированных процессов даже в руках опытных участников проекта.
Расследование продолжается. Пока не ясно, восстановит ли Торвальдс доверие к Куку — но ясно одно: даже в зрелом и технологически отточенном сообществе одно ошибочное изменение может обрушить целый цикл разработки.
Неожиданный инцидент всколыхнул разработчиков ядра Linux в минувшие выходные: во время слияния веток для релиза 6.16 Линус Торвальдс обнаружил в Git-истории подозрительную активность, которую воспринял как умышленное вмешательство со стороны давнего участника проекта — Киса Кука.
В субботу он выступил с жёстким сообщением в рассылке LKML, в котором потребовал объяснений и обвинил Кука в создании ложных коммитов от его имени. Один из них — поддельный Merge commit (коммит слияния), якобы от самого Торвальдса, но с неверным SHA1-хешем. Для просмотра ссылки Войди
«Ты, похоже, намеренно искажённо переписал своё дерево. Там есть абсолютно сумасшедшие коммиты, полностью выдуманные. Один из них заявляет, что сделан от моего имени, но это полная чушь. Это неприемлемо. Я не буду принимать от тебя ничего, пока ты не объяснишь, какого чёрта ты творил».
Он также обратился к администратору Константину Рябицеву с просьбой временно отключить доступ Кука к инфраструктуре kernel.org. Реакция последовала незамедлительно — доступ был заблокирован.
Сам Кук оказался не менее удивлён происходящим. Он начал восстанавливать патчи из чистой копии репозитория и разбираться в произошедшем. В последующем комментарии Торвальдс подчеркнул: объём и характер ложных коммитов исключают случайность. «Это были не один-два сбоя. Речь идёт о тысячах коммитов, переписанных каким-то безумным скриптом», — добавил он.
Позднее стало ясно, что причиной стали вспомогательные скрипты Кука, использующие git-filter-repo и b4 trailers — инструменты для обработки истории коммитов и подготовки патчей к рассылке. Их взаимодействие вызвало непреднамеренное искажение дерева Git, однако на данный момент признаков злого умысла не обнаружено.
Тем не менее, сбой серьёзно нарушил работу в рамках окна слияния ядра Linux 6.16 и поставил под сомнение надёжность автоматизированных процессов даже в руках опытных участников проекта.
Расследование продолжается. Пока не ясно, восстановит ли Торвальдс доверие к Куку — но ясно одно: даже в зрелом и технологически отточенном сообществе одно ошибочное изменение может обрушить целый цикл разработки.
- Источник новости
- www.securitylab.ru
