Hallo Weiner,

aus dem MS-Hintergrund des Entdeckers eine Geschichte zu stricken macht wenig Sinn. Sehr viele Entwickler die mit einem derart weit verbreiteten Stück Software zu tun haben schauen den Code durch. Das meiste davon automatisiert. Das Gute dabei ist, dass dabei alles transparent ist. Niemand kann einen Wissensvorsprung haben, außer man ist selbst derjenige der den Code einschleust.

Die Frage als Entwickler ist wie tief man den Code auf Konsistenz prüft wenn Bibliotheken (Bausteine) verwendet werden welche, wie in diesem Fall, seit Langem zuverlässig funktionieren und kaum Änderungen unterliegen. Dazu kam noch, dass der schädliche Code zum testen der Bibliothek im Grunde die Funktionsweise nicht beeinflussen darf.
Ich vermute, dass dieser Zusammenhang zum Auffliegen geführt hat, eine Bibliothek die so gut wie nie verändert wird und neuer Test-Code der den alten, zuverlässig laufenden, testen soll. Das ist nicht logisch.

Ich bin nicht sicher ob Danischs Alarmismus gerechtfertigt ist. Der Schadcode ist in der Entwicklungsversion aufgeflogen. Danach gibt es eine Testversion und dann wird es für die Produktion freigegeben. Die Frage ist, wie lange blieb der Code unentdeckt.

Man kann sicher sein, dass die Vorgehensweise bei der Entwicklung auf den Prüfstand gestellt wird. Da sind sehr viele Leute sehr nervös geworden.

beste Grüße
mabraton