La semana pasada, Greg Kroah-Hartman, el actual mantenedor de la rama estable del kernel de Linux de código abierto, emitió un mensaje en la lista de correo de mantenedores de código de Linux anunciando que estaba eliminando a algunos desarrolladores debido a requisitos de cumplimiento.
“Pueden regresar en el futuro si se les proporciona suficiente documentación”, escribió en el mensaje enviado a la lista de destinatarios del parche de Linux que ayudan a mantener el código del kernel.
Esta lista de correo incluye a Linus Torvalds, el desarrollador del kernel de Linux original. En una publicación en la misma lista de correo de mantenedores de parches de Linux, Torvalds habló sobre su preocupación de que hubiera muchos trolls rusos que potencialmente podrían infiltrarse en el kernel de Linux. “Está completamente claro por qué se realizó el cambio. No se va a revertir, y el uso de múltiples cuentas anónimas aleatorias para tratar de ‘raízarlo’ por parte de las fábricas de trolls rusas no va a cambiar nada”, escribió Torvalds.
Sin embargo, algunos argumentan que la decisión de eliminar a los desarrolladores rusos no fue transparente.
Un responsable del mantenimiento cuestionó si el cumplimiento del kernel de Linux estaba abierto al escrutinio público: “Nadie nunca revisó los parches. El parche simplemente se deslizó en una solicitud de extracción de un subsistema no relacionado y Torvalds lo retiró, sin siquiera un comentario”.
Al observar las implicaciones para el futuro de Linux, el mantenedor planteó la cuestión de un escenario en el que, para cumplir con regulaciones hipotéticas, se requeriría una puerta trasera en el kernel de Linux.
Amanda Brock, directora ejecutiva de OpenUK, describió la decisión de impedir que los desarrolladores rusos apliquen parches al kernel de Linux como “alarmante”. En una publicación de LinkedIn, dijo: “En esencia, el código abierto permite que cualquiera participe con cualquier propósito. Pero como hemos visto la adopción del código abierto a escala en los últimos años, hasta el punto en que más del 90% de las bases de código activas utilizadas por las empresas dependen del software de código abierto, es comprensible que los gobiernos hayan planteado preocupaciones sobre el riesgo”.
El código abierto depende del trabajo de miles de desarrolladores de software, que dedican su tiempo a corregir errores y crear mejoras para Linux y el software que se ejecuta sobre el kernel del sistema operativo. Revisar el envío del código es un paso de cumplimiento clave para garantizar que el kernel de Linux y cualquier código fuente abierto no introduzcan malware ni abran agujeros de seguridad deliberados.
Uno de esos casos ocurrió en 2021, cuando la Universidad de Minnesota fue eliminada como mantenedora después de que un investigador de seguridad cibernética intentara insertar parches defectuosos en el kernel. Cuando se identificó a la universidad como la fuente de los errores, se la eliminó como mantenedora.
Posteriormente, Minnesota se disculpó y afirmó: “Los cuatro parches presentados entre el 9 de agosto de 2020 y el 21 de agosto de 2020 fueron parte de nuestro mal concebido estudio de caso de ‘compromiso hipócrita’. Son los únicos parches de esta naturaleza enviados desde Minnesota y fueron detenidos antes de pasar la etapa de revisión”.