
<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 25, 2021, 12:07 PM Karen Lewellen via talk <<a href="mailto:talk@gtalug.org">talk@gtalug.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am not sure I resonate.<br>

why banning an entire university program for the actions of two students?<br>

Its like saying because one doctor abused his  duties, we will not let <br>

anyone seek care from St.  Michael's hospital ever again.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Rephrasing. If you knew about a doctor abusing patients at a hospital and getting away with it, would you trust the hospital for your care or find another one? Well there is a doctor at that hospital who has given you excellent care in the past ( trust factor). So maybe you go to them then.</div><div dir="auto"><br></div><div dir="auto">It is the same here. The University broke the trust factor. The IRB failed to do it's job.</div><div dir="auto"><br></div><div dir="auto">Dhaval</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Or for a more computer reference Cloudflare's deciding I am a threat <br>

because I cannot solve their noninclusive captcha..they have a zero <br>

tolerance policy too.<br>

<br>

<br>

<br>

On Sun, 25 Apr 2021, Ansar Mohammed via talk wrote:<br>

<br>

> I know some people may think this is an over-reaction. But FWIW, I agree<br>

> with the Zero Tolerance approach.<br>

><br>

><br>

> On Sun, Apr 25, 2021 at 12:08 PM Dhaval Giani via talk <<a href="mailto:talk@gtalug.org" target="_blank" rel="noreferrer">talk@gtalug.org</a>><br>

> wrote:<br>

><br>

>> On Sun, Apr 25, 2021 at 8:32 AM D. Hugh Redelmeier via talk<br>

>> <<a href="mailto:talk@gtalug.org" target="_blank" rel="noreferrer">talk@gtalug.org</a>> wrote:<br>

>>><br>

>>> | From: Aruna Hewapathirane via talk <<a href="mailto:talk@gtalug.org" target="_blank" rel="noreferrer">talk@gtalug.org</a>><br>

>>><br>

>>> Thanks for pointing this out.  (I used to subscribe to the LKML but it<br>

>>> just got too voluminous.)<br>

>>><br>

>>> | I am still trying to understand the reason 'why' would anyone even<br>

>> want to<br>

>>> | do this ?<br>

>>><br>

>>> The first question is "what, exactly, is 'this'?".<br>

>>><br>

>>> I've ONLY read media reports and their recent apology.  So I'm not the<br>

>>> most informed.<br>

>>> <<br>

>> <a href="https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u" rel="noreferrer noreferrer" target="_blank">https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u</a><br>

>>><br>

>>><br>

>>> Some reactions.<br>

>>><br>

>>> The apology starts with:<br>

>>><br>

>>>   "We sincerely apologize for any harm our research group did to the<br>

>>>    Linux kernel community."<br>

>>><br>

>>> This common formulation rubs me the wrong way.  The word "any" means<br>

>>> that they are not actually admitting to there being harm.  If they had<br>

>> used<br>

>>> "the" or "all", I would interpret it as a genuine apology.<br>

>>><br>

>>> Later they seem more contrite.  But it is buried at the end of a<br>

>>> paragraph, near the end of the message><br>

>>><br>

>>>   "We apologize unconditionally for what we now recognize was a breach of<br>

>>>    the shared trust in the open source community and seek forgiveness for<br>

>>>    our missteps."<br>

>>><br>

>>> I think that they may have done the communities a service.  This kind<br>

>>> of weakness injection has always been available to bad actors.  In<br>

>>> this case, it was an actor intending to do good.<br>

>>><br>

>>> - they don't think that they actually added a vulnerability<br>

>>><br>

>>> - they demonstrated how adding a vulnerability could be done<br>

>>><br>

>>> GKH appears to have over-reacted.  (I may be wrong: he's always seemed<br>

>>> like a rock-steady guy.)<br>

>>><br>

>><br>

>> As someone actually affected by these reverts :-). Greg KH did not<br>

>> over react. These guys did not do the community a service. They did<br>

>> add vulnerabilities (those have been reverted since) and they did not<br>

>> tell us anything. I myself have left old code in the kernel when<br>

>> trying to get rid of some of my stuff. And I was not trying to inject<br>

>> a bug. They did not tell me anything I did not already know. It is<br>

>> easy to get bugs into the kernel. Let me link to the paper and their<br>

>> "contributions".<br>

>><br>

>><br>

>> <a href="https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf" rel="noreferrer noreferrer" target="_blank">https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf</a><br>

>> --<br>

>> VIII A<br>

>> By its nature, OSS openly encourages contributors. Com- mitters can<br>

>> freely submit patches without liability. We believe that an effective<br>

>> and immediate action would be to update the code of conduct of OSS,<br>

>> such as adding a term like “by submitting the patch, I agree to not<br>

>> intend to introduce bugs.” Only committers who agreed to it would be<br>

>> allowed to go ahead to submit the patches. By introducing the<br>

>> liability, the OSS would not only discourage malicious committers but<br>

>> also raise the awareness of potential introduced bugs for benign<br>

>> committers.<br>

>> --<br>

>> This is a mitigation. Have contributors claim they are not introducing<br>

>> bugs (at least intentionally).<br>

>><br>

>> The rest of the mitigations are equally bizarre. They are not telling<br>

>> us anything we don't know. There is nothing original in this work<br>

>> (except for the human experimentation aspect of it.)<br>

>><br>

>> Now let's talk about the negative impact. It is already hard enough to<br>

>> contribute to the linux kernel. It is built on trust. They have<br>

>> destroyed any trust we had in code coming from UMN. How do we know we<br>

>> are not being experimented for research? Like Greg pointed out, it is<br>

>> much easier for us to ignore all their stuff. I don't have enough<br>

>> seconds in my minute to get my day job done. On top of that, any new<br>

>> comer will have to face a much higher bar, making it even more<br>

>> hostile. (I actually see it as a negative, because it is easier to<br>

>> ignore the newcomer as opposed to doing the extra work. And generally<br>

>> most newcomers with some work turn out to be darn good contributors.)<br>

>> It will make it harder to look at non corporate contributions<br>

>> seriously.<br>

>><br>

>> And as far as UMN is concerned, this is not the first time they have<br>

>> been involved in questionable experiments. The last time had much more<br>

>> serious consequences.<br>

>> <a href="https://en.wikipedia.org/wiki/Death_of_Dan_Markingson" rel="noreferrer noreferrer" target="_blank">https://en.wikipedia.org/wiki/Death_of_Dan_Markingson</a><br>

>><br>

>> Dhaval<br>

>> ---<br>

>> Post to this mailing list <a href="mailto:talk@gtalug.org" target="_blank" rel="noreferrer">talk@gtalug.org</a><br>

>> Unsubscribe from this mailing list<br>

>> <a href="https://gtalug.org/mailman/listinfo/talk" rel="noreferrer noreferrer" target="_blank">https://gtalug.org/mailman/listinfo/talk</a><br>

>><br>

>---<br>

Post to this mailing list <a href="mailto:talk@gtalug.org" target="_blank" rel="noreferrer">talk@gtalug.org</a><br>

Unsubscribe from this mailing list <a href="https://gtalug.org/mailman/listinfo/talk" rel="noreferrer noreferrer" target="_blank">https://gtalug.org/mailman/listinfo/talk</a><br>

</blockquote></div></div></div>