| Re:Stimme zu, insbesondere "Microsoft-Entwickler" |  |
>>Bei Java, mit dem ich arbeite, ist das prinzipiell die gleiche Gefahr... Irgendwas in großen Maven-Repos suchen, finden, einbinden. Da setzt man (vielleicht zu-) viel Vertrauen voraus.
Ich sehe das bei meinen Kunden, da ist auch viel Faulheit. Lieber 3rd-Party Pakete für eine Funktion rein holen als es mit der Standardlib selber bauen.
>>Traurig, wie gute Sachen immer mehr zu beschädigen versucht werden.
>
>Hey fellow Java (oder JVM) dev. Ja, heutzutage zieht man sich da meistens auch die halbe Welt rein...
Das hatten wir das ganze ja schon mit log4j vor einiger Zeit. IMO deutlich katastrophaler als xz jetzt. Bei xz zeigt sich halt, wie geschickt Angreifer vorgehen können. Es hat aber auch gezeigt, dass das die Arbeit von Monaten innerhalb von Tagen verbrannt sind. "nur" weil bei einem Nutzer PostgreSQL langsam wurde. Und da ist IMO auch die Lektion:
Wenn MS dir ein Update rein schiebt und SQL Server dann langsamer ist, hast du keine Chance zu sehen/finden was passiert ist.
die zweite Lektion: FOSS und Supply-Chain-Anforderungen beißen sich.