| Stimme zu, insbesondere "Microsoft-Entwickler" |  |
kann den Artikel nicht lesen, aber bei Technologie-Artikeln ist man bei Quellen wie heise generell viel besser beraten.
Und diese Darstellung... Gut, der Mann mag für Microsoft arbeiten, das ist aber völlig irrelevant hier. Microsoft selbst hat gerade ein vernichtendes Urteil der zuständigen US-Behörde zum gestohlenen Master-Key derer Azure/Cloud-Umgebung erhalten, insbesondere auch zum Umgang mit dem Problem.
Hoffentlich wird hier noch stärker untersucht, wer die -mutmaßlich staatlichen- Akteure im Hintergrund sind, die die Quelloffenheit (die insbesonbdere dann zum schnellen Patch der Lücke beigetragen hat) zu torpedieren versuchen.
Die aufeinander aufbauenden Projekte sind einerseits eine große Stärke, andererseits systembedingt anfällig. Kenne mich nicht mit der damals betroffenen Programmiersprache aus, aber vor Zeiten wurden Schwachstellen in diesen Konstruktionen auch in einem Python (oder war es javascript?)-Ökosystem deutlich, als eine Mini-Bibliothek, die alle irgendwie benutzt haben, geändert oder entfernt wurde, und dann vieles betroffen war.
Bei Java, mit dem ich arbeite, ist das prinzipiell die gleiche Gefahr... Irgendwas in großen Maven-Repos suchen, finden, einbinden. Da setzt man (vielleicht zu-) viel Vertrauen voraus.
Traurig, wie gute Sachen immer mehr zu beschädigen versucht werden.