Se la faccenda della backdoor XZ, ormai due anni fa, ha insegnato qualcosa, è stato che si danno per scontate troppe cose nell’open-source.

Lo ricorderete: un pacchetto presente ovunque, il suo maintainer che ha difficoltà nel gestirlo, qualcuno che si propone per dare aiuto e quel qualcuno, salta fuori alla fine, è un criminale che utilizzerà il proprio ruolo per immettere una backdoor nel pacchetto.

Ora, uno potrebbe pensare che XZ sia un pacchetto a suo modo “piccolo”, che sia cioè abbastanza normale che avesse un solo maintainer, ma allora cosa possiamo dire di sudo? Ogni distribuzione Linux, ormai da più di un decennio, tendenzialmente evita di configurare una password di root, proprio perché il meccanismo preferito per effettuare la privilege escalation è quello mediante il comando sudo.

Non vi stupirà a questo punto sapere che sudo è mantenuto da una sola persona e che, come racconta The Register, questa persona ha bisogno di aiuto:

For the past 30+ years I’ve been the maintainer of sudo. I’m currently in search of a sponsor to fund continued sudo maintenance and development. If you or your organization is interested in sponsoring sudo, please let me know.

Per gli ultimi trent’anni sono stato il maintainer di sudo. Al momento sto cercando uno sponsor per finanziare il mantenimento e lo sviluppo di sudo. Fatemi sapere se voi o qualcuna delle aziende per cui lavorate sono interessate a sponsorizzare sudo.

Il messaggio qui sopra è apparso in una nota sul blog del maintainer dove, tra le altre cose, aggiunge anche che non si aspetta di dover mantenere sudo per altri trent’anni, ma al momento non ha nemmeno qualcuno a cui passare il testimone, richiamando peraltro proprio l’infelice storia della backdoor XZ.

Ed in fondo la questione è proprio solo di responsabilità.

Il tempo da investire nel progetto è limitato (poiché è gratuito), perciò al momento si riduce alla sistemazione dei bug ed alla pulizia del codice, piuttosto che all’aggiunta di nuove funzionalità.

E per avere più tempo, ovviamente, ci vorrebbero più sponsor.

Con altrettanta onestà Miller dice di aspettarsi sudo-rs, l’alternativa scritta in Rust che è già parte di Ubuntu 25.10, diventi nel breve il nuovo standard:

Ubuntu is already shipping sudo-rs as the default sudo command in their latest versions, I’ve been in contact with the people working on sudo-rs since the project started and I trust them to do right by the sudo user base.

Nella sua ultima versione Ubuntu sta già distribuendo sudo-rs come comando sudo di default, sono rimasto in contatto con le persone che lavorano al progetto sudo-rs dall’inizio e credo stiano facendo un buon lavoro per gli utenti sudo.

Ma fino a quando sudo-rs non sarà uno standard (e ci vorrà del tempo), per preservare sudo ci vorranno contributi più sostanziali, e speriamo che le aziende all’ascolto rispondano all’appello.