Один из самых дорогих багов в истории Debian начался с «невинной» правки.
В OpenSSL были строки, которые выглядели странно: код подмешивал в генератор случайных чисел неинициализированную память.
Статические анализаторы и Valgrind ругались на это как на ошибку.
Мейнтейнер решил убрать предупреждение и удалил две строки.
На вид - чистка мусора.
По факту - генератор случайных чисел потерял важный источник энтропии.
И почти два года Debian OpenSSL выпускал предсказуемые ключи.
Пострадали SSL-сертификаты, SSH-ключи, VPN, серверы и всё, что зависело от нормальной криптографической случайности.
Урок жёсткий: в security-коде странная строка не всегда мусор.
Иногда это защита, которую нельзя трогать без понимания всей модели угроз.

Комментариев пока нет.