Buongiorno, a chi è intervenuto (e interverrà) nel thread: grazie davvero per i commenti che avete inviato, vi prometto che con calma vi risponderò ove necessario, ma prima vorrei finire almeno la parte 2 della mia analisi e ci vorrà ancora un po' di tempo (indefinito).
Lungi da me voler dissuadere chiunque dall'aggiungere i propri commenti a questo thread, faccio però a tutti una preghiera: siccome si tratta di una questione relativamente complessa, sarebbe il caso che chi non avesse avuto modo di studiare la questione "backdoor in XZ", anche leggendo analisi altrui, si astenesse _momentaneamente_ dai commenti, perché mancherebbero elementi importanti per formarsi un giudizio completo in merito alla situazuione, alle sue cause e alle possibili soluzioni a medio/lungo termine; sta succedendo anche a _superstar_ del settore di sbagliare clamorosamente, credetemi. Infine, sapete che io sono il re degli OT ma in questo thread mi piacerebbe ci concentrassimo sugli aspetti tecnici *e* ambientali (sociali, economici, ecc.) che hanno reso possiblile questo _specifico_ attacco che definirei: "targeted backdoor injection through build process subversion of a library via supply chain attack by unfaithful authority" ...se non lo capite adesso, spero che dopo la parte 2 sarà più chiaro. Per ora aggiungo solo che non si tratta di una "banale" backdoor [1] e nemmeno di un "banale" supply chain attack [2], perché per quel tipo di attacchi l'ecosistema FLOSS ha già trovato _da_diverso_tempo_ una *soluzione* tecnica, che alcune distribuzioni GNU/Linux et al stanno cercando di attuare, risolvendo pazientemente le "asperità tecniche e sociali" che stanno emergendo nelle fasi di _implementazione_ delle soluzioni trovare. Alla prossima puntata :-) Loving, 380° [1] per esempio inserita direttamente nel codice della libreria [2] per esempio attuato infiltrandosi senza autorizzazione nel sistema di distribuzione del *binario* -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
