OpenMandriva 就发行版遭破坏未遂发表声明
速览
OpenMandriva 发现有人试图破坏其发行版的分发机制,已采取措施应对并发布官方声明。该事件提醒开源社区关注软件供应链安全风险。目前团队正在调查并加强保护。
AI 深度解读
背景
OpenMandriva 是一个基于 Linux 的开源发行版,由社区维护。近期,该发行版遭遇了内部信任危机和蓄意破坏事件。事件核心人物 Davide Beatrici 是知名即时通讯软件 Mumble 的贡献者,他加入 OpenMandriva 团队后,逐步获得了管理权限,并最终滥用权限删除了多年来的代码仓库,并发布了破坏性空包,导致 GNOME 和 COSMIC 软件包被废弃。
核心内容
OpenMandriva 团队近日发布声明,披露了其发行版遭遇的一系列破坏事件,旨在保持对社区的完全透明。
Davide Beatrici(以 Mumble 项目工作闻名)在不久前加入 OpenMandriva 团队。团队当时对他毫无保留地信任,认为他是知名人物,不会出问题。尽管 Davide 对系统贡献不多,但他主动提出将仓库基础设施从 GitHub 迁移到他私有的 OneDev 实例,并备份了数十个仓库。部分团队成员对此感到不安,因为不希望将仓库置于个人手中,而更倾向于 GitHub 这种公开基础设施。
与此同时,Davide 还带来了另外两人加入团队。问题由此开始:其中一人开始对某些用户和团队成员进行辱骂,导致部分成员离开。团队并非立即知晓所有事件,因为许多恶劣行为发生在私信中。当另一人在聊天室和 GitHub 上受到攻击时,项目负责人决定采取行动,将攻击者踢出了聊天室(仅踢出,未封禁)。事后回顾,负责人承认应该更早介入,并向受攻击行为影响的人致歉。
这一举动引发了连锁反应:作为抗议,包括 Davide 在内的两人离开了团队。负责人认为不再有必要维护 Davide 私有基础设施的镜像,于是切断了部分连接。这激怒了 Davide,他滥用仍然拥有的管理权限,在当天凌晨对发行版进行了破坏:删除了 GitHub 上部分仓库(多年工作成果,负责人本人已维护十年,至 2026 年 9 月满十年),并在 cooker 仓库中发布了一个空包,导致所有 gnome 和 cosmic 包被废弃,可能损坏使用这些桌面环境的用户系统。
目前团队正在恢复被删除的仓库和废弃包的功能。OpenMandriva 表示,理解 Davide 的行为不可接受且可耻,虽然其行为已构成刑事犯罪,但团队决定不追究法律责任。团队进行了全面系统审计,除被删除的包外,未发现其他违规。
关键要点
- Davide Beatrici(Mumble 项目贡献者)加入 OpenMandriva 后获得信任,曾提议将仓库迁移到其私有 OneDev 实例。
- 他带来的另一名成员对社区成员进行辱骂,导致部分成员离开,团队未及时处理。
- 负责人将攻击者踢出聊天室后,Davide 及其朋友离开团队。
- 负责人切断了与 Davide 私有基础设施的镜像连接,激怒了 Davide。
- Davide 滥用管理权限,删除了 GitHub 上多年积累的仓库代码,并发布空包废弃了 GNOME 和 COSMIC 包。
- 团队正在恢复被破坏的内容,并已完成全面审计,未发现其他问题。
- 团队决定不追究 Davide 的刑事责任,但公开警告开源社区警惕此人。
意义与影响
此事件揭示了开源社区中信任管理的脆弱性。即使是对知名贡献者,团队也应保持适当的权限分离和审计机制,避免单点失败。将核心基础设施置于个人控制之下存在巨大风险——一旦信任破裂,可能造成毁灭性后果。OpenMandriva 的公开声明既是对社区的透明交代,也是对开源生态的警示:在合作中需平衡信任与安全,对关键权限的授予应更加谨慎。此外,事件也凸显了即时通讯工具(如 Matrix)私信中的恶意行为难以被社区及时察觉,需要建立更完善的行为监督和反馈渠道。对于 GNOME 和 COSMIC 用户,此次空包事件可能导致系统更新损坏,但团队已着手修复,提醒用户注意官方恢复进展。
