Cos'è ElectroYou | Login Iscriviti

ElectroYou - la comunità dei professionisti del mondo elettrico

Open Source e attacco xy

Linguaggi e sistemi

Moderatori: Foto UtenteMassimoB, Foto UtentePaolino, Foto Utentefairyvilje

0
voti

[1] Open Source e attacco xy

Messaggioda Foto UtenteDarwinNE » 5 apr 2024, 0:01

Ciao,
avete sentito parlare di quello che è successo alla libreria xy?

Qui c'è un video interessante sull'aspetto sociale di quello che è successo:


Se qualcuno preferisse un articolo, ecco qui uno (del resto commentato nel video):
https://robmensching.com/blog/posts/202 ... -projects/

Sono da sempre interessato al mondo Open Source e purtroppo posso capire molto bene come qualcosa del genere è potuto succedere :shock:
Follow me on Mastodon: @davbucci@mastodon.sdf.org
Avatar utente
Foto UtenteDarwinNE
30,2k 7 11 13
G.Master EY
G.Master EY
 
Messaggi: 4241
Iscritto il: 18 apr 2010, 9:32
Località: Grenoble - France

0
voti

[2] Re: Open Source e attacco xy

Messaggioda Foto UtenteEdmondDantes » 6 apr 2024, 19:21

Ho letto che la backdoor si trova nella tarball con i binari precompilati e non nel codice sorgente della libreria xz.
Come è possibile che sia stata accettata una cosa del genere? Un disastro classificato al massimo livello.

Ma siamo sicuri che la reputazione del mondo open source abbia subito un danno?
Per come la vedo io, il problema è stato intercettato prima che si diffondesse con le versioni stabili. È vero, grazie a una sola persona, per quanto è noto, ma è stato individuato. Che ne pensi?
Il Conte di Montecristo

Se non studio un giorno, me ne accorgo io. Se non studio due giorni, se ne accorge il pubblico.

Io devo studiare sodo e preparare me stesso perché prima o poi verrà il mio momento.
Abraham Lincoln
Avatar utente
Foto UtenteEdmondDantes
11,6k 8 11 13
G.Master EY
G.Master EY
 
Messaggi: 3602
Iscritto il: 25 lug 2009, 22:18
Località: Marsiglia

1
voti

[3] Re: Open Source e attacco xy

Messaggioda Foto UtenteDarwinNE » 6 apr 2024, 23:47

Quello che volevo dire non è tanto una questione di reputazione, è piuttosto una questione sociale.
Ciò che successo è che lo sviluppatore principale della libreria xy lavorava da solo nel tempo libero e non riusciva più a dedicare abbastanza tempo alla libreria (utilizzatissima). Il video ed il blog sono molto interessanti perché mostrano come questo sviluppatore avesse ricevuto delle pressioni da utenti e fosse sull'orlo del burnout.
Un nuovo sviluppatore è quindi entrato in gioco proponendo contributi ragionevoli ed in pratica ereditando la reputazione dello sviluppatore originale :? Fino a quando la backdoor non è stata introdotta.

Il meccanismo di quello che è successo è abbastanza spregevole e lo sviluppatore originale non ha a quanto pare nessuna colpa.
Follow me on Mastodon: @davbucci@mastodon.sdf.org
Avatar utente
Foto UtenteDarwinNE
30,2k 7 11 13
G.Master EY
G.Master EY
 
Messaggi: 4241
Iscritto il: 18 apr 2010, 9:32
Località: Grenoble - France


Torna a PC e informatica

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti