Исследователи из университета Миннесоты, США, приняли решение провести достаточно необычный эксперимент по внедрению уязвимостей в популярные Open Source-проекты (проекты с открытым исходным кодом). Для этого они выпускали патчи, в которых имелся вредоносный код — так учёные хотели проверить, насколько реально добавлять свои собственные уязвимости в различные известные проекты, а также оценить, насколько представители этих проектов детально изучают код предложенных сторонними разработчиками патчей. Удивительно, но даже представители Linux не смогли сразу заметить уловку со стороны якобы энтузиастов.
Исследователи заявили, что они решили попробовать запустить уязвимость в ядре Linux посредством патча из-за популярности данного ядра по всему миру, что им, фактически, удалось сделать. Специалисты американского университета отправили на код ревью четыре патча, и все они успешно прошли модерацию — в трёх патчах был вредоносный код, который представители проекта Linux по каким-то причинам пропустили. К счастью, энтузиасты, которые на добровольной основе действительно занимаются развитием данного ядра, заметили уязвимость, так что исследователей вывели на чистую воду.
Более того, пользователи, которые обнаружили патчи с вредоносным кодом, высказались довольно негативно в сторону исследователей, и даже отправили жалобу в университет, от лица которого учёные проводили свои эксперименты. По словам представителей сообщества поклонников Linux, им очень не нравится, когда кто-то проводит подобные исследования, намеренно внося уязвимости в код. Но, к сожалению, администрация университета на данное заявление никак не отреагировала, так что представителями проекта Linux было принято решение больше патчей от этих разработчиков никогда не принимать.
