Egyetértek, senkinek nem törték fel a fiókját, ez a Jia nevű valami ukrán, kínai, orosz, vagy hasonló agyagedény volt, ezt az aljas akcióját már hosszú ideje készítette elő.
Egyébként ez az xz projektvezetőjének a hibája is volt. Az xz-ről azt kell tudni, hogy 10 éve is lényegében feature complete volt (mivel csak egy Unix-filozófiás CLI tool), ezért az utóbbi időben alig voltak hozzá újonnan kiadott verziók. Szépen magára hagyta a projektet, nem nézte, hogy kit enged commitálni a projektbe, nem nézte át a commitokat, kulázott bele az egészbe. Pedig ennek a Jia-nak a kódja nagyon gányolt, nagyon gyanús, feleslegesen hosszú, kriptikus, obfuszkált kódsorok, azonnal lejön belőle, hogy valami nem kerek. Nem egy becsületesen megírt, átlátható, tiszta kód.
Ez az a rész, amit Torvalds zseniálisan csinál, nem engedi a projektjét elfajulni, hogy hülyék szabadon gányolhassanak bele, nagyon szigorúan nézi, hogy kitől és milyen kódot fogad be, milyen minőségben, átláthatóságban, tényleg nagyon agresszív, mindenkire rápirít, átnézi Hartmannal együtt a kódokat, nem lustáznak, meg nem fullad az egész nemtörődömségbe. Tényleg a kerneleseknél egy ilyen Jia féle csicska bepróbálkozna a retardált szutykaival, már a levlistáról, a kód befogadása előtt úgy vágnák ki, mint a macskát eü-sétára, még nyekkenni se lenne ideje.
A másik tanulsága meg a történetnek, hogy a systemd, meg liblzma, meg egyéb szutykot nem kell mindenbe belelinkelni, olyan dolgokba is, aminek nincs rá szüksége, pl. OpenSSH. Én ezt írogatom már a HUP-ra is évek óta, hogy miért fontos a minimalizmus, hogy valaminek minél kevesebb kódsora és függősége legyen. Nem azért, mert ne lenne megfizethető az erős proci, sok memória, rengeteg tárhely, hanem pont az ilyen esetek elkerülésére, hogy a túl sok függőségnek a komplex kódjába malware-t tudjon belefosni, meg szétbugosodjon, szétlyukasodjon biztonságilag az egész idővel, és a komplex kódot onnan már csak profi cégek tudják drágán, nagy fejlesztői erőforrásokkal foltozgatni, maguk előtt tologatni.
Lehet, hogy ezzel a véleménnyel most szemétnek fogok tűnni, de kellett ez a pofon most a linuxos világnak, hogy az ilyenek jövőbeli kivédésére bevezessenek védelmi mechanizmusokat, meg projektek ne lazázzanak, felesleges függőséget a disztrók ne linkeljenek a binárisokba, illetve hogy disztróknál a csomagolók, karbantartók is jobban megnézzék a kódot, amiből a csomagot csinálják. Ez egy többszereplős játék, mindenkinek le kell futni a körét vele, hozzátenni a saját részét, amit nem lazázhat el, akkor se, ha nonprofitként dolgozik bele a projektbe, hobbiként, tanulás jelleggel, stb..