Marcel WaldvogelApr 14, 2024

@ph0lk3r und @jrt haben die Entstehung der #xz-Backdoor nochmals mit dem nötigen Abstand beleuchtet und ziehen einige Lehren daraus.

Insbesondere empfehlen sie die möglichst durchgängige Verwendung von signierten #git-Commits, ein Punkt der bei mir ⬆️⬆️⬆️ fehlte.

Ich setze die auch an einigen Stellen durchgängig ein, aber bisher nur an Stellen, wo keine Rebases oder Squashes nötig sind. Ich vermute, die verlieren die Signaturen, beim Rebase auch, wenn man es selbst macht?
https://research.hisolutions.com/2024/04/xz-backdoor-eine-aufarbeitung/

xz-Backdoor - eine Aufarbeitung

Die kürzlich aufgedeckte Backdoor in der Open Source-Software xz ließ uns nicht mehr los. Die Thematik ist komplex und hat Implikationen für die Art, wie wir mit Open Source-Software in Zukunft umgehen sollten. Dieser Artikel stellt das Ergebnis unserer Recherchen und Überlegungen dar.

HiSolutions Research
Show threadJRT

@marcel @ph0lk3r signiert Commits sind schön, bringen aber primär was bei der Aufarbeitung und gegen den Identitätsdiebstahl.

Das Kernproblem (insbesondere in diesem Fall) ist ein soziales und da gibt es wenig bis keine technischen Lösungen für. Da müssen wir Firmen mehr in ihre gesellschaftliche Verantwortung nehmen und mit staatlichen (bzw. gesamtgesellschaftlichen Projekten) wie zum Beispiel dem Sovereign Tech Fund gegensteuern.

Apr 14, 2024 at 9:11amWeb