Vlákno názorů k článku Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou od jinejmuf - Technicky je velmi zajímavý ten postup, jak se...

Technicky je velmi zajímavý ten postup, jak se jim to tam povedlo dostat, včetně opětovného důkazu, že nejsnazší cesta je přes sociální inženýrství a faktor lidské chyby. Ovšem obzvlášť zvědavý bych byl na to, kdo si tohle zaplatil. Je to zjevně věc velmi dlouho připravovaná, čili bych čekal, že to nejspíš platila nějaká zpravodajská služba. A teď by mě fakt zajímalo, která velmoc na tom měla takový zájem. Bylo by taky hezké, kdyby se FOSS komunita na tomto případě naučila, že přílišné rozdrobování sil (u Linuxu např. reprezentované nesmyslným množstvím distribucí) jen snižuje kvalitu výsledného produktu a že důkladný auditing je dneska prostě nezbytnost a že samotná dostupnost zdrojáků zdaleka není zárukou kvality/spoleh­livosti.

...kdyby se FOSS komunita na tomto případě naučila, že přílišné rozdrobování sil (u Linuxu např. reprezentované nesmyslným množstvím distribucí) jen snižuje kvalitu výsledného produktu...

Mantra o "nesmyslným množstvím distribucí" se opět vynořila.

Významnou část těch lidí, kteří (F)OSS dělají ji dělají právě pro to, že mohou tvořit po svém. Z toho úhlu pohledu to není štěpení sil.

Navíc tenhle případ vůbec není o tom, jestli je distribucí moc nebo málo.
Bezpečnostní audit a mnohá další bezpečnostní opatření jsou samozřejmě potřeba, ať už je distribuce jedna nebo jich je 1000.

Naopak s tímto a dalšími bezpečnostními incidenty se otvírá další prostor, aby přibily distribuce, které se budou více zaměřovat na bezpečnost a z jejich přístupu a výsledků mohou těžit ti ostatní.
A na těch, kteří to používají je, aby si zvolili, i podle míry bezpečnosti, kterou nabízí.

PS: A 100% bezpečné, nejspíš, nebude nikdy nic.

V tom poctu distribuci bych problem nevidel. Zrovna tady se navic pouzilo technika, co sice neni soucasti upstreamu, ale vetsina distribuci ji nejak prebira. Zaplatpambu se na to prislo driv, nez to probublalo do produkcnich systemu.

Ale samotne zamereni se na bezpecnost krom jineho znamena zpomaleni znacne vyvoje - a tim spoustu lidi proste nenadchnete. Ono audity kodu nejaky cas proste zaberou, pokud to nema byt jen formalita - ale skutecny bezpecnostni audit, kdy resite i souvislosti. Realne se to moc nedeje ani u backportu do "LTS" kernelu a to ani po funkcni strance - kdy GKH obcas aktivne protahne neco - a nekdy tim cherry-pickingem i neco rozbije (takze nasleduje nove vydani s reverty, ze?).

Nebyly by místo dehonestujících nálepek jako "mantra" raději nějaké validní argumenty? Není to mantra, je to prokazatelná situace, která se dá velmi snadno doložit životním cyklem řady distribucí, které vznikají a zanikají s jediným správcem, či se neliší nijak funkčně, pouze předvýběrem balíčků, takže ke "změně distribuce" dochází pouhým odinstalováním jednoho desktopového prostředí a nainstalováním jiného.

Ano, je pravda, že část lidí do projektů přispívá proto, že mají příležitost dělat něco jinak a po svém. Nikomu neberu právo forknout si z GIMPu svůj vlastní Glimpse čistě kvůli změně jména (a možná i UI?), pouze poukazuji na to, že takový projekt měl životnost 2 roky a veškerá odvedená práce se proměnila ve zcela promarněný čas (změna loga/designu apod. je kosmetická zbytečnost a o reálných funkčních změnách, které by se zpětně objevily aspoň v GIMPu, jsem neslyšel).

Pokud jste četl článek a porozuměl postupu, jak k infiltraci došlo, nemohlo vám uniknout, že klíčovou částí v postupu bylo přinucení unaveného správce projektu přidat dalšího (neznámého a neprověřeného) člověka mezi správce a následné ustoupení původního správce z projektu. Je tedy zcela zjevné, že nedostatek prověřených vývojářů (na který má vliv mj. štěpení sil) byla jedna z hlavních příčin vzniku problému.

Nápad se vznikem distribucí zaměřených na bezpečnost je opravdu úsměvný. Už se těším, až budu někomu vysvětlovat, že základní rozdíl mezi distribucí A a B je v tom, že A se dá velmi snadno zavirovat a hesla v ní jsou jen formalita, zatímco B je "zaměřena na bezpečnost". Těm "nebezpečným distribucím" se říká developer preview a je sebevražda používat to jinak než v testovacím prostředí.

P.S.: Kde v původním příspěvku jsem předpokládal nějakou 100% bezpečnost?