Durante l’apertura della merge window per il ciclo di sviluppo del kernel Linux 6.16, Linus Torvalds ha scoperto una massiccia alterazione dei metadati Git, sollevando forti preoccupazioni sulla fiducia e sull’integrità nella catena di approvazione del kernel Linux. L’incidente ha coinvolto Kees Cook, un manutentore veterano dell’area sicurezza e mitigazioni, il cui repository ha mostrato oltre 6.000 commit riscritti e 330 merge commit falsamente attribuiti a Torvalds stesso.
La reazione del creatore di Linux è stata immediata e decisa. Torvalds ha accusato Cook di aver modificato il suo albero Git in modo malevolo, dichiarando che alcuni commit risultavano erroneamente firmati a suo nome. La situazione ha portato alla sospensione temporanea dell’account di Cook, in attesa di chiarimenti. Tuttavia, un’analisi più approfondita ha rivelato che l’origine del problema potrebbe essere legata a una catena di strumenti e script automatizzati utilizzati per gestire le patch e riscrivere la storia del repository. In seguito a una ricostruzione della tree da un backup dopo un possibile guasto hardware, alcuni script avrebbero alterato metadati critici come il nome del committer, l’ID del commit e il timestamp.
L’episodio ha evidenziato la fragilità della fiducia nella catena di approvazione del kernel Linux, che si basa su mailing list, patch e hash Git piuttosto che su una piattaforma centralizzata come GitHub. La trasparenza e l’integrità del codice sono fondamentali per garantire la sicurezza del sistema, e qualsiasi alterazione dei metadati può compromettere la verifica delle modifiche e l’affidabilità del software.
Cook ha confermato la presenza di commit anomali nel suo repository e ha collaborato per ricostruire il lavoro da una copia attendibile. L’incidente ha sollevato interrogativi importanti sulla gestione dei repository e sull’uso di strumenti avanzati, che se non impiegati correttamente possono generare problemi di sicurezza e fiducia nella comunità open source. Torvalds, noto per il suo carattere diretto e senza compromessi, ha dimostrato ancora una volta quanto sia cruciale mantenere elevati standard di trasparenza e controllo nello sviluppo del kernel Linux.
