C'è una libreria open source che è orribilmente insicura. L'autore riconosce che è insicuro. Il titolo della biblioteca dice "Questa è un'implementazione per la piattaforma X della Biblioteca Y". La libreria Y è sicura quindi il titolo che la sua biblioteca è un'implementazione di una libreria sicura Y suggerisce strongmente che la sua implementazione sia anche sicura. Da nessuna parte la sua biblioteca o i suoi readme e documenti parlano di insicurezza.
L'ho educatamente presentato, elencato i problemi e suggerito educatamente di aggiungere un avvertimento al readme. Ha detto che non pensava che qualcuno avrebbe pensato che la sua biblioteca fosse sicura. Ho fatto notare che sostiene che la sua biblioteca è un'implementazione di Y e Y è noto per essere progettato per essere sicuro. Ha risposto che ha visto il mio punto e mi ha suggerito di inviare una richiesta di aggiornamento per aggiornare il readme. L'ho fatto. Questo era 12 mesi fa. Altri lo hanno inventato ma nessun movimento.
Permettetemi di aggiungere anche la sua libreria non è in realtà un'implementazione di Y. È simile ma avrebbe bisogno di mesi di lavoro per superare effettivamente i test di conformità di Y e quindi, oltre ad essere insicuro, sta mentendo anche sull'implementazione di Y.
E se dovessi dire qualcosa che potrebbe incoraggiare il movimento? Il mio intestino (che so è sbagliato) è fondamentalmente dire che è un idiota per ingannare le persone e mettere a rischio le persone e che dovrebbe davvero prendere sul serio la questione. Non è la libreria più popolare, ma secondo almeno un punto di distribuzione è stata scaricata 160 volte questo mese e ci sono alcune librerie dipendenti. Supponendo che sia una media al mese, allora fino a 1920 persone / progetti sono a rischio.