 Неизвестный вошёл в core team популярной библиотеки, где выгорел автор и потом вставил туда бэкдор. А крупные корпорации продолжают игнорировать проблему выгорания мейнтерйнеров библиотек, от которых зависит их бизнес. https://boehs.org/node/everything-i-know-about-the-xz-backdoor 9 comments
 @sitnik_ru первый раз слышу, чтобы деньги помогали от выгорания :-) еще один из вариантов развития событий - в стиле редис. не думаю что опен сорс энтузиастам этот стиль нравится. было бы интересно услышать более конкретное видение как деньги корпораций могут тут помочь. давать гранты? чтобы создатели бэкдоров их туда еще и незабесплатно пропихивали?  @sitnik_ru Меня больше пугает то, что где-то взял и тихо выгорел разработчик одной из ключевых библиотек. Простите за сравнение, как старичок-алкаш, который от одиночества допился до инсульта... Вот тут подробности о том взломе xz, о котором сейчас все говорят. Самая жесть, что вредоносную закладку обнаружили случайно. Закладка замедляла SSH на полсекунды. Для одного инженера 0,5 с было слишком раздражающим и он пошёл разбираться.  @sitnik_ru один из эпичнейших багов за последнее время, на моей памяти. Но этим и хорош опенсурс, что найдется кто-нибудь, кто сможет разобраться. @vsv на всякий случай уточню, что это не бага, а именно специально сделанная закладка и операция ради неё длилась несколько месяцев |
Gregory's Server
@sitnik_ru не первый случай. очевидный сайд эффект опенсорса.
какая нибудь отдельная крупная корпорация использует сто тыс опенсорсных библиотек и ни как не может как то помочь им всем, даже если захочет.
поэтому решение очевидно. корпорации билдят все из своих репо, давая опенсорсу самому разобраться с дерьмом.