Kicsit megkésve, de erre muszáj reagálnom. Igen, kéne review, mert így a many-eyeballs miatt mindenki a másiktól várja, hogy ők majd átnézik helyette a kódot, így meg senki nem nézi át, de ez az elvi sík.
A gyakorlati sík viszont az, hogy a fejlesztés ingyenes, amit a disztrók kihoznak, az ingyenes (jó, RHEL, meg 1-2 kivétel van), így nem lehet nekik előírni, hogy mi lenne a kötelességük, mi nem. Főleg, hogy nehezen kivitelezhető, egy disztró tárolójában több tízezer csomag van, annak van pár milliárd kódsora, beleértve a makefile-okat, telepítő scripteket, stb., ezt ha nagy anyagi áldozat árán át is nézik, az is évek, addigra meg az egész ökoszisztéma olyan gyorsan mozog, olyan gyorsan ontják az új verziókat, hogy lehetetlen lesz behozni, lekövetni, még akkor is, ha csak a konkrét új commitokat nézik át.
A megoldás itt az lenne, ha kormányzati szervek, biztonsági cégek rámennének, hogy legalább a főbb, nagyobb komponensek (kernel, systemd, glibc, mesa, ffmpeg, stb.) mellé rendelnek állandó átnéző embereket, 1-1 fejlesztőt csak 1 projektre dedikálva. A többieket meg felhívás alapján önkéntesek néznék át, minden projekt mellé ajánlkozna valaki, hogy átnézi minden verzió kijövetelekor, és addig nem építik be az adott újabb verziót (legalább a corporate grade disztrókba), amíg a véleménye nincs kész, hogy átnézte, engedélyezi. Ha valaki kiesik, akkor meg jelentkeztetni valakit a pótlására. Valaki megbízható, aki valamelyik szervezetnek dolgozik, vagy van valami ellenőrizhető háttere FOSS fejlesztésben, évekre visszamenőleg. Nyilván Kisguczy Illés az utcáról nem játszik, mert adott esetben hiába is nézi át a kódot, pl. az xz-ét, hiába ért hozzá, a véleménye semmit nem fog garantálni, mert nem tudni ki ő, simán ő is lehet ilyen JiaTan-félékkel kollaboráló kém.
A kernel annyiból könnyű, hogy ott van két megbízható ember, Torvalds és Kroah-Hartman, róluk az idő ténylegesen is bizonyította, hogy tényleg nézik a kódot, nagyon megválogatják mit engednek be a kernelbe, az xz-hez hasonló akcióját kivédték a minnesotai egyetemnek 3 éve. Még a systemd se problémás, mert a Red Hat házon belül fejleszti, ők tudnak erre embert adni, hogy felügyelje a külsős commitolók munkáját is. A mesa meg az ffmpeg viszont már problémás, meg a rust és a gcc.