Torvalds litiga con uno sviluppatore del Kernel
Durante l’apertura della merge window per il ciclo di sviluppo del kernel Linux 6.16, Linus Torvalds ha scoperto una massiccia alterazione dei metadati Git, sollevando forti preoccupazioni sulla fiducia e sull’integrità nella catena di approvazione del kernel Linux. L’incidente ha coinvolto Kees Cook, un manutentore veterano dell’area sicurezza e mitigazioni, il cui repository ha mostrato oltre 6.000 commit riscritti e 330 merge commit falsamente attribuiti a Torvalds stesso.
La reazione del creatore di Linux è stata immediata e decisa. Torvalds ha accusato Cook di aver modificato il suo albero Git in modo malevolo, dichiarando che alcuni commit risultavano erroneamente firmati a suo nome. La situazione ha portato alla sospensione temporanea dell’account di Cook, in attesa di chiarimenti. Tuttavia, un’analisi più approfondita ha rivelato che l’origine del problema potrebbe essere legata a una catena di strumenti e script automatizzati utilizzati per gestire le patch e riscrivere la storia del repository. In seguito a una ricostruzione della tree da un backup dopo un possibile guasto hardware, alcuni script avrebbero alterato metadati critici come il nome del committer, l’ID del commit e il timestamp.
L’episodio ha evidenziato la fragilità della fiducia nella catena di approvazione del kernel Linux, che si basa su mailing list, patch e hash Git piuttosto che su una piattaforma centralizzata come GitHub. La trasparenza e l’integrità del codice sono fondamentali per garantire la sicurezza del sistema, e qualsiasi alterazione dei metadati può compromettere la verifica delle modifiche e l’affidabilità del software.
Cook ha confermato la presenza di commit anomali nel suo repository e ha collaborato per ricostruire il lavoro da una copia attendibile. L’incidente ha sollevato interrogativi importanti sulla gestione dei repository e sull’uso di strumenti avanzati, che se non impiegati correttamente possono generare problemi di sicurezza e fiducia nella comunità open source. Torvalds, noto per il suo carattere diretto e senza compromessi, ha dimostrato ancora una volta quanto sia cruciale mantenere elevati standard di trasparenza e controllo nello sviluppo del kernel Linux.
