ElectroYou

Ciao,
avete sentito parlare di quello che è successo alla libreria xy?

Qui c'è un video interessante sull'aspetto sociale di quello che è successo:


Se qualcuno preferisse un articolo, ecco qui uno (del resto commentato nel video):
https://robmensching.com/blog/posts/202 ... -projects/

Sono da sempre interessato al mondo Open Source e purtroppo posso capire molto bene come qualcosa del genere è potuto succedere

Ho letto che la backdoor si trova nella tarball con i binari precompilati e non nel codice sorgente della libreria xz.
Come è possibile che sia stata accettata una cosa del genere? Un disastro classificato al massimo livello.

Ma siamo sicuri che la reputazione del mondo open source abbia subito un danno?
Per come la vedo io, il problema è stato intercettato prima che si diffondesse con le versioni stabili. È vero, grazie a una sola persona, per quanto è noto, ma è stato individuato. Che ne pensi?

Quello che volevo dire non è tanto una questione di reputazione, è piuttosto una questione sociale.
Ciò che successo è che lo sviluppatore principale della libreria xy lavorava da solo nel tempo libero e non riusciva più a dedicare abbastanza tempo alla libreria (utilizzatissima). Il video ed il blog sono molto interessanti perché mostrano come questo sviluppatore avesse ricevuto delle pressioni da utenti e fosse sull'orlo del burnout.
Un nuovo sviluppatore è quindi entrato in gioco proponendo contributi ragionevoli ed in pratica ereditando la reputazione dello sviluppatore originale Fino a quando la backdoor non è stata introdotta.

Il meccanismo di quello che è successo è abbastanza spregevole e lo sviluppatore originale non ha a quanto pare nessuna colpa.