すげえな。三年かけて信頼関係を築きバックドアを仕込む。千年かけて魔族を騙すような所業だけど、これくらいなら実際インセンティブあるよなあ…

しかし一つこれがあったということは、他にもあると見るべきなんだろうなあ。うへえ

オープンソース文化圏は「コントリビューション待ってまーす☆」みたいなノリも多いけれども、こういう例を見ると難しいよねえ。「なんで俺の PR が全然マージされねーんだ!」みたいな文句を言っている人もたまに見かけるけど、メンテナーとしてはそんな軽々に受け入れらんないっすよそりゃ

(そういう文句を言っている人のことはかなーり苦々しく思っております。自分がメンテナーやってるものでなくても)

実際 Embulk なんざ、ちょっと細工を忍び込ませられれば、各社のデータを横流しするくらいのことができちゃうだろうからね。いちおう慎重に見てはいますよ。プラグインは管轄外のものが多いけど

GitHib Actions なんかも、うかつにサードパーティーの Action を使ったりなんかはしないようにしている。なんか仕込むには格好のターゲットだからね。あと典型的なのは Gradle プラグインとかな

"In April 2022, Jia Tan submits a patch via a mailing list. The patch is irrelevant, but the events that follow are. A new persona – Jigar Kumar enters, and begins pressuring for this patch to be merged." わぉ。「これマージしろ」ってプレッシャーかける輩は同類判定でいいんでないか

"Soon after, Jigar Kumar begins pressuring Lasse Collin to add another maintainer to XZ. In the fallout, we learn a little bit about mental health in open source." うーむ…