Jia Tan, uma pessoa, mantenedora no mundo Linux, seria suspeita por ter colocado um backdoor numa biblioteca que atinge o SSH. Esta pessoa, ficou 5 anos no mundo Linux e sua conta foi fechada em sites após tal problema. Ninguém conhece Jia Tan pessoalmente e ele ganhou escala no mundo Linux após o mantenedor do XZ afastar-se do projeto e indicá-lo.
Houve um deslize em cascata no mundo Linux. Novas medidas de admissão serão propostas. Jia Tan poderia ter sido hackeado(a). Não há como cravar que foi Jia Tan o autor(a) do backdoor. O certo que o negócio foi bem trabalhado e devidamente estudado para chegar onde chegou, ou seja, Jia Tan e sua equipe, não fez isto sozinho(a), sabia bem onde queria atingir. Auditorias estão sendo feitas.
O caso Jia Tan abre uma lista de procedimentos para o mundo Linux. Foi bom que isto tenha ocorrido para mudanças. A lição aprendida irá mostrar novos cenários, ampliar a gama de soluções, trazendo atenção em Segurança Cibernética, Gerenciamento de Riscos, Compliance. Admitir pessoa só por e-mail, sem devida verificação, é absurdo e até insano ainda mais em TI.
Linux é desenvolvido por comunidades em sua maioria. Distros como o Debian exigem todo um cuidado para admitir possíveis mantenedores(as). O universo Linux percebe agora a importância de processos mais profundos nas escolhas de seus membros. Jia Tan não tem rosto. Qualquer associação com a China pelo seu nome é ser ingênuo demais. Dificilmente será localizado(a).
O temor torna-se maior pois não sabe-se onde Jia Tan tenha atuado. Profundas revisões em códigos terão que ser feitas. Isto afetou até a entrega do novo Ubuntu, sistema feito pela Canonical. Espera-se apuração e mudanças urgentes neste processo de admissão de mantenedores(as). O problema teve uma solução rápida. Fica a lição.
|