Linux 6.16 едва не рухнул под весом поддельных коммитов. Всё из-за одного скрипта. И Киса Кука?
NewsMakerТорвальдс обнаружил в Git-истории неладное. И принялся за расследование…
Неожиданный инцидент всколыхнул разработчиков ядра Linux в минувшие выходные: во время слияния веток для релиза 6.16 Линус Торвальдс обнаружил в Git-истории подозрительную активность, которую воспринял как умышленное вмешательство со стороны давнего участника проекта — Киса Кука.
В субботу он выступил с жёстким сообщением в рассылке LKML, в котором потребовал объяснений и обвинил Кука в создании ложных коммитов от его имени. Один из них — поддельный Merge commit (коммит слияния), якобы от самого Торвальдса, но с неверным SHA1-хешем. По словам Линуса , это выглядело не как ошибка при ребейзе, а как сознательная фальсификация:
«Ты, похоже, намеренно искажённо переписал своё дерево. Там есть абсолютно сумасшедшие коммиты, полностью выдуманные. Один из них заявляет, что сделан от моего имени, но это полная чушь. Это неприемлемо. Я не буду принимать от тебя ничего, пока ты не объяснишь, какого чёрта ты творил».
Он также обратился к администратору Константину Рябицеву с просьбой временно отключить доступ Кука к инфраструктуре kernel.org. Реакция последовала незамедлительно — доступ был заблокирован.
Сам Кук оказался не менее удивлён происходящим. Он начал восстанавливать патчи из чистой копии репозитория и разбираться в произошедшем. В последующем комментарии Торвальдс подчеркнул: объём и характер ложных коммитов исключают случайность. «Это были не один-два сбоя. Речь идёт о тысячах коммитов, переписанных каким-то безумным скриптом», — добавил он.
Позднее стало ясно, что причиной стали вспомогательные скрипты Кука, использующие git-filter-repo и b4 trailers — инструменты для обработки истории коммитов и подготовки патчей к рассылке. Их взаимодействие вызвало непреднамеренное искажение дерева Git, однако на данный момент признаков злого умысла не обнаружено.
Тем не менее, сбой серьёзно нарушил работу в рамках окна слияния ядра Linux 6.16 и поставил под сомнение надёжность автоматизированных процессов даже в руках опытных участников проекта.
Расследование продолжается. Пока не ясно, восстановит ли Торвальдс доверие к Куку — но ясно одно: даже в зрелом и технологически отточенном сообществе одно ошибочное изменение может обрушить целый цикл разработки.
Неожиданный инцидент всколыхнул разработчиков ядра Linux в минувшие выходные: во время слияния веток для релиза 6.16 Линус Торвальдс обнаружил в Git-истории подозрительную активность, которую воспринял как умышленное вмешательство со стороны давнего участника проекта — Киса Кука.
В субботу он выступил с жёстким сообщением в рассылке LKML, в котором потребовал объяснений и обвинил Кука в создании ложных коммитов от его имени. Один из них — поддельный Merge commit (коммит слияния), якобы от самого Торвальдса, но с неверным SHA1-хешем. По словам Линуса , это выглядело не как ошибка при ребейзе, а как сознательная фальсификация:
«Ты, похоже, намеренно искажённо переписал своё дерево. Там есть абсолютно сумасшедшие коммиты, полностью выдуманные. Один из них заявляет, что сделан от моего имени, но это полная чушь. Это неприемлемо. Я не буду принимать от тебя ничего, пока ты не объяснишь, какого чёрта ты творил».
Он также обратился к администратору Константину Рябицеву с просьбой временно отключить доступ Кука к инфраструктуре kernel.org. Реакция последовала незамедлительно — доступ был заблокирован.
Сам Кук оказался не менее удивлён происходящим. Он начал восстанавливать патчи из чистой копии репозитория и разбираться в произошедшем. В последующем комментарии Торвальдс подчеркнул: объём и характер ложных коммитов исключают случайность. «Это были не один-два сбоя. Речь идёт о тысячах коммитов, переписанных каким-то безумным скриптом», — добавил он.
Позднее стало ясно, что причиной стали вспомогательные скрипты Кука, использующие git-filter-repo и b4 trailers — инструменты для обработки истории коммитов и подготовки патчей к рассылке. Их взаимодействие вызвало непреднамеренное искажение дерева Git, однако на данный момент признаков злого умысла не обнаружено.
Тем не менее, сбой серьёзно нарушил работу в рамках окна слияния ядра Linux 6.16 и поставил под сомнение надёжность автоматизированных процессов даже в руках опытных участников проекта.
Расследование продолжается. Пока не ясно, восстановит ли Торвальдс доверие к Куку — но ясно одно: даже в зрелом и технологически отточенном сообществе одно ошибочное изменение может обрушить целый цикл разработки.