Just listened to #PlanetMoney episode about the #XZ security incident...
Includes a brief, seemingly accessible introduction to #OpenSource
Though they talked a lot about the weakness of relying on arbitrary overworked underappreciated maintainers basically keeping "The Internet" working...
They did not apparently point out that that same open model was part of what allowed the issue to be discovered in the first place...
The further you dig, the farther the #history goes, so we settled on starting in 1906, then the 90's, then #Slackware. This is the history of #Xz that culminated into a " #hack " that would have rocked the world if not for one intrepid #SQL#developer.
Who should be software packaging is a tough problem, I can see the value in #linux distros pushing for better changes downstream, encouraging upstream to change (double click in #KDE) but then I see cases like KeepassXC where the Debian package is now by default broken, actively damaging the reputation of upstream but then I remember #XZ where upstream was left unchecked and hid bad code in plain sight and I go back around in a circle.
@ph0lk3r und @jrt haben die Entstehung der #xz-Backdoor nochmals mit dem nötigen Abstand beleuchtet und ziehen einige Lehren daraus.
Insbesondere empfehlen sie die möglichst durchgängige Verwendung von signierten #git-Commits, ein Punkt der bei mir ⬆️⬆️⬆️ fehlte.
Ich setze die auch an einigen Stellen durchgängig ein, aber bisher nur an Stellen, wo keine Rebases oder Squashes nötig sind. Ich vermute, die verlieren die Signaturen, beim Rebase auch, wenn man es selbst macht? https://research.hisolutions.com/2024/04/xz-backdoor-eine-aufarbeitung/
Was wissen wir eigentlich über «Jia Tan»? Ich habe mich mal auf eine Spurensuche begeben. Und dabei herausgefunden, dass man mit der Sicherheitslücke wohl mehrere Milliarden hätte verdienen können.