Itt egy releváns blog post:
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
- nem szart bele, de mentális problémákkal küzd a fejlesztő - bárki küzdhet mentális problémákkal, a fejlesztés nem ad felmentést
- több célzott ál-felhasználóval visszatérően ösztökélték, megpróbálták kényszerhelyzetbe hozni
UTC +2/+3 időzónában él(nek), Orosz/Ukrán gyanús. Kínai újév során tevékeny volt, Húsvétkor nem volt aktív. Valószínűleg nem kínai, a név fabrikált lehet.
Érdekelne, hogy a katolikus, vagy az ortodox húsvét szerint nem dolgozott, mert Ukrajna az utóbbi időben demonstratíven próbál nyugatosodni és ez differenciálhat az ukrán és az orosz között...
A fő kérdés itt a nyílt forrású fejlesztés immunrendszere. Ez projektfüggő. Itt elindult egy betegség, de a kezdeti tüneteket követően megfékezték, nem tudott elhatalmasodni.
Vannak olyan egyetemi projektek is, ahol bepróbálták a nyílt forrású közösséget, az ilyen visszhangja ellentmondásos volt.
Vajon mennyire tudják kiszűrni egy vállalatnál, ha elmegy dolgozni egy ilyen kártékony fickó, hogy nem nyom tele zavaros malware-rel egy terméket?
Nemzetvédelmi szolgálatok helyében már rég telepítettem volna 1-2 ügynököt nagyobb cégekbe.