オープンソースプロジェクトに提出されたバックドアの例？

一部の注記 2003年頃のLinuxカーネルにバックドアを仕掛ける試みについて。どうやら失敗したようです。 現代の解説 はかなり興味深いものでした。

Linuxカーネル配布マシンは 2011年に再び侵害されました を取得しましたが、その時点ではコードが変更されていないようです。

更新：sourceforgeミラーに バックドアが組み込まれたphpMyAdminのバージョン があったようです。

2010年にe107 CMSにバックドアがありました： http://www.esecurityplanet.com/headlines/article.php/3860981/Backdoor-Found-in-e107.htm

2か月前（2012年9月）phpmyadminにSourceForgeリポジトリ/ミラーの1つからのバックドアがありました： http://sourceforge.net/blog/phpmyadmin-back-door/

2000年にOpenBSDのIPSECスタックをバックドアしたとされるFBI： http://bsd.slashdot.org/story/10/12/15/004235/FBI-Alleged-To-Have-Backdoored-OpenBSDs-IPSEC-Stack

オープンソースにはクローズドソースに比べて多くの利点がありますが、これはオープンソースプロジェクトがその性質上安全であることを意味するものではありません。継続的な侵入テストは必須です。

FOSDEM 2014基調講演Poul-Henning Kamp による（ワニスおよびNtimedリードアーキテクト）は非常に興味深いです。

これは架空のものですNSA私がFOSDEM 2014で閉会の基調講演として提供したブリーフィング

その意図は人々を笑わせたり考えさせたりすることでしたが、私はだれかにそれが真実でないことを証明するように挑戦します。

それはすべてフィクションですが、オープンソースプロジェクトでの豊富な経験を持つ誰かによるフィクションです。

こちらが 45分のビデオ です。

そして、CloudFlareのブログに NSA（可能性があります）RSAの暗号化にバックドアを追加する方法：技術入門 があります。

ほとんどのオープンソースプロジェクトが持つ最大の保護は、だれがアクセスできるかだけだと思います。一般に、誰もがコードをプロジェクトにコミットできるわけではないため、コミットアクセス権を付与されたユーザーは、その方法を妥協しようとする価値がないほど十分にアクティブになる傾向があります。 （ソースが利用できるので、既存のエクスプロイトを見つけようとするだけの方が簡単です。）悪意のあるコミットを作ろうとしたとしても、多大な労力を費やして、不正なコミットが発生する可能性がかなりあります。メジャーリリースに到達する前に他のユーザーによって検出されたため、プロジェクトから身を焼き、行ったすべての作業をあきらめました。

基本的に、難易度は高く、報酬の可能性は低いので、オープンソースプロジェクトを悪意を持って侵害しようとする価値はありません。 （リスク対報酬の観点から）試みられたと思われる場所の1つは、政府がそれを行おうとしていることですが、その場合は、少なくともある程度のプロジェクトのサポートがあり、慎重に隠されます。また、ほとんどのソフトウェアで最終的な検出なしに行うことは非常に難しいため、それでもそれはほとんどありません。