xzをきっかけに総点検した他プロジェクトもあると思うんだけど、その割には同様のバックドアが見つかった報告はまだ見かけてないな。巧妙すぎて見つけられてない可能性も否定できないけども。
---
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で
https://www.publickey1.jp/blog/24/xz_utilsopenssfopenjs_foundations.html
#bookmarks