Názor k článku Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou od Heron - Nebo to byl případ odstranění knihovny left-pad z...

Nebo to byl případ odstranění knihovny left-pad z npm registry, které sice bylo úmyslné, ale úmyslem nebylo rozbít půlku internetu.

Tohle podle mě ukazuje na mnohem závažnější problém - chybějící standardní knihovny a standardní funkce. Pokud i takovou blbost jako formátování stringu někdo tahá z náhodného místa na internetu, tak to znamená, že je něco prohnilého v samotné infrastruktuře.

Tohle mě neskutečně štve na vlastně všech moderních jazycích a nástrojích. Všechny (Go, Rust, Python, PHP, Ansible, ....) v podstatě doporučují tahat knihovny z náhodných míst na internetu, je to v každém tutoriálu apod.