求评XZ投毒事件

各位大佬,
针对这次潜伏两年半,修改xz源码,植入sshd后门的事件,大家怎么看?可以从管理、程序员、发现这几个环节发表看法。

2 Likes
1 Like

看了一眼,我的是5.25,幸好幸好

2 Likes

从坏人视角:不再相信,苦心人天不负,这句话

2 Likes

苦心人天不负,三年xz可吞ubuntu

2 Likes

视角独特啊

1 Like

6 Likes

能跑就别升

图都做出来了,网友还是有才

没受影响,不过很搞笑哈哈哈哈哈。话说企业看到这个会不会以后code review的责任会更大一些

同样的事情发生过很多次了,从openssl无心的漏洞,到fakerjs因为没有回报删库,再到xz这种投毒。

解法从来都不会是“我们用了开源软件,我们还是捐款支持下”,不管是代码审计,还是支持维护者的生活。

解法就只有一个,维护者以后发布软件,需要ABC等安全限制,或者提出一个新软件来替换。简而言之,“税收只能征收到好人头上,坏人不会受到惩罚”