潜伏三年，危及 sshd 密钥验证的 xz/liblzma 供应链攻击

posthoc

没向公网开放ssh端口，应该没事吧。各个被影响的发行版已经发了降级更新。

posthoc

说不用担心还为时过早吧，攻击者未必是潜伏了三年之后才投毒，可能是这次最新的投毒才被意外发现。据HN上面的xz维护者说这位攻击者提供了不少二进制测试文件，目前应该都当作有潜在风险来看待。

posthoc

release 里的打包毕竟可以不仅是源码打包，很多项目也会用来发布二进制，所以强制要求只有repo里的文件不现实。不想clone的话github也是可以直接给repo打zip包下载的
不过从这次事件可以看出哪怕各大发行版的打包者也都是直接下载现成tarball编译的，aur和slackbuilds那种用户自行编译的软件库的编译脚本一般也是如此。

posthoc

中国人不会用自己名字的啦，哪怕一般用户都是不明所以的id+二次元头像，更不要说专门要做坏事的。

posthoc

龙芯移植那几个人基本线下都认识吧。不过虽然被无端怀疑很不爽可以理解，但这对线发言有点没走脑子，不安后门是理所应当的基本中的基本，这都要请喝酒那全球开源业界全体酒精中毒了，而真的查出后门那就不是陪点钱的问题了，尤其他们的身份并不算是秘密。