Sul forum non si è discusso della backdoor xz.

Per chi non lo sapesse faccio un breve recap (generata da copilot):
La backdoor di XZ Utils è stata scoperta il 29 marzo 2024 da Andres Freund, uno sviluppatore di software. Questa backdoor era stata maliziosamente introdotta nell’utilità xz all’interno della libreria liblzma nelle versioni 5.6.0 e 5.6.1, rilasciate da Jia Tan nel febbraio 20241. Fortunatamente, al momento della scoperta, la versione compromessa non era ancora stata ampiamente distribuita nei sistemi di produzione, ma era presente nelle versioni di sviluppo delle principali distribuzioni Linux. La backdoor consente a un attaccante in possesso di una specifica chiave privata Ed448 di eseguire codice a distanza sul sistema Linux interessato. Questo problema è stato assegnato al numero CVE-2024-3094 e ha ottenuto un punteggio CVSS di 10.0, il punteggio più alto possibile1. La backdoor è stata inserita nel progetto XZ Utils da un utente noto come Jia Tan, che ha cercato per circa tre anni di guadagnare accesso a una posizione di fiducia all’interno del progetto. Questo è stato fatto attraverso l’uso di pseudonimi come Jigar Kumar, krygorin4545 e misoeater911. In sintesi, la backdoor di XZ Utils è stata un evento significativo nel mondo della sicurezza informatica, ma è stata scoperta prima che potesse diffondersi su larga scala2.

Insomma abbiamo rischiato tutti quanti.
Togliendo le dietrologie (alcuni pensano ad hacker di stato) questa cosa ha gettato ombre sull'open source. E' vero che con codice chiuso nessuno si sarebbe accorto del problema, ma è anche vero che in un progetto opensource è più facile per un esterno entrare e inserire una modifica di questo genere.