@skobkin Вот да.
Во-первых, таки находят. Во-вторых, не в исходниках, а в сборочном пайплайне. В-третьих, не openssh (эти хуи вообще просто так патчи не аппрувят), а xz. А в четвертых, bad actor'ы были, есть и будут везде, см. историю с университетом Миннесоты. Лечится бдительностью, банхаммером и анафемой, как и везде. На их мотивацию, как правило, наплевать: научный там интерес, или политический - неважно. Есть дырка - надо закрыть.