Softwareleveranciers, techbedrijven en fabrikanten die van opensourcesoftware profiteren door het binnen hun producten te gebruiken moeten ook aan deze projecten bijdragen, zo stelt het Amerikaanse cyberagentschap CISA. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan zo een nieuwe XZ-backdoor worden voorkomen.

Een aanvaller probeerde over een lange tijd het vertrouwen te winnen van de maintainer van het XZ-project, om vervolgens een backdoor aan de code toe te voegen. Volgens het CISA laat dit de kwetsbaarheid van het opensource-ecosysteem zien, en het risico van burn-out bij een maintainer. "We hebben geluk gehad dat de open aard van het opensource-ecosysteem ervoor heeft gezorgd dat een ontwikkelaar deze supplychain-aanval kon detecteren voordat die veel schade aanrichtte, maar de volgende hebben we misschien niet zoveel geluk."

De Amerikaanse overheidsdienst stelt dat de aanval laat zien dat er een fundamentele verandering nodig is. "Elke leverancier die van open source profiteert moet hun steentje bijdragen door een verantwoordelijke consument van te zijn en op een duurzame manier bij te dragen aan de packages waar ze op vertrouwen." Volgens het CISA zou de veiligheid van een opensourceproject niet op de schouders van een enkele maintainer mogen rusten, zoals in het geval van XZ bijna catastrofale gevolgen had kunnen hebben.

"Bedrijven die van opensourcesoftware gebruikmaken moeten teruggeven, ofwel financieel of door het beschikbaar maken van ontwikkeltijd, om zo voor een duurzaam ecosysteem te zorgen waar opensourceprojecten gezonden en diverse maintainer communities hebben die bestand zijn tegen burn-out", gaat het CISA verder. Dat vindt ook dat voor opensourceprojecten een secure by design aanpak moet worden gevolgd en leveranciers maintainers hierbij moeten helpen.