Unglaublich:
https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html
Ein Video dazu:
https://www.youtube.com/watch?v=CQcv6f1qKA4
Andy
Linux 15.027 Themen, 107.036 Beiträge
Wie oft schon wurde hier Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt ... mawe2
Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment hellwach waren. Jeder von uns hier merkt, wenn ein ... andy11
Gebt dem Mann einen Orden und eine Gehaltserhöhung. Wahnsinn was da hätte passieren können. Liest sich wie ein Krimi. ... swiftgoon
Es kommt noch viiieel dicker. Lies mal das hier. Bin ich erst gestern drauf gestoßen. Das kling wirklich gruselig. Wenn ... winnigorny1
Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an ... Borlander
Ich gehe trotzdem davon aus, dass es für einen Angreifer schwieriger sein dürfte, sich in ein reguläres Unternehmen ... mawe2
Es wird doch teilweise vermutet, dass Geheimdienste dahinter stecken können. Und es ist ohne Frage eine ganze Menge ... Borlander
Das ist schon richtig. Mit genügend großem Aufwand und finanziellen Mitteln ist alles möglich. Stellt sich nur noch die ... mawe2
Die Möglichkeit auf diesem Wege einen SSH-Zugang zu extrem vielen System zu erlangen macht es schwer ein einzelnes ... Borlander
Borlander 
mawe2 „Das ist schon richtig. Mit genügend großem Aufwand und finanziellen Mitteln ist alles möglich. Stellt sich nur noch die ...“
dass gerade Entwickler im Open-Source-Sektor häufig an extrem wichtigen, weit verbreiteten Komponenten arbeiten, ohne dafür überhaupt genügend Ressourcen zu besitzen und ohne dafür adäquat vergütet zu werden.
Das kommt in der Tat vor.
Dann sind solche Leute natürlich auch extrem anfällig für diese Art von "Hilfe"!
Das lässt sich auch nicht so pauschal sagen. Und als Open-Source-Entwickler will man auch nicht unbedingt, dass irgendein Unbekannter dran herum pfuscht und Dinge tut die den eigenen Visionen entgegen stehen.
ob man essentielle Software auf einer solchen Grundlage überhaupt auf Dauer verantwortungsvoll (hier wird es "nachhaltig" genannt) produzieren kann?
Das ist eine durchaus berechtigte Frage, wobei ich da heute vor allem auch das Risiko von in einigen Umgebungen extrem hoher Anzahl von indirekte eingebundenen Abhängigkeiten gegeben ist. Im Fall von Node.js ist es nicht so exotisch, dass ein einzelnes Projekt am Ende insgesamt eine 5-stellige Anzahl von Bibliotheken einbindet, die teilweise nur Trivialaufgaben erfüllen. Da hat niemand mehr eine seriöse Chance den Überblick zu behalten.
Siehe dazu auch https://xkcd.com/2347/
Das ist keine Frage von Open Source vs. Closed Source, sondern der Qualitätsprüfung . Die hat hier zum Glück ... gelöscht_355647
