🛡️ Executive Summary
- OpenMandriva denuncia un presunto sabotaggio interno che ha comportato la cancellazione di repository e la compromissione del repository Cooker.
- Il team attribuisce le azioni a un ex collaboratore che avrebbe abusato dei privilegi amministrativi dopo aver lasciato il progetto.
- La distribuzione ha ripristinato i repository, corretto i pacchetti interessati e avviato una revisione delle procedure di sicurezza.
Il team di OpenMandriva ha reso pubblica una dettagliata dichiarazione con cui informa la comunità di un grave incidente che ha interessato l’infrastruttura della distribuzione Linux. Secondo quanto riportato dagli sviluppatori, nelle prime ore dell’8 luglio 2026 un ex collaboratore avrebbe utilizzato i privilegi amministrativi ancora in suo possesso per cancellare parte dei repository ospitati su GitHub e pubblicare un pacchetto nel repository Cooker capace di rendere obsoleti tutti i pacchetti relativi agli ambienti desktop GNOME e Cosmic. L’episodio arriva al termine di un periodo caratterizzato da tensioni interne e ha spinto il progetto a intervenire pubblicamente per spiegare quanto accaduto, rassicurare gli utenti sull’integrità della distribuzione e avviare una revisione delle proprie procedure di gestione dei privilegi amministrativi.
Cosa leggere
Dalle tensioni interne alla rottura con il team
Nella ricostruzione pubblicata dagli sviluppatori, Davide Beatrici, già conosciuto nella comunità open source per il contributo al progetto Mumble, era entrato a far parte di OpenMandriva ottenendo rapidamente un ruolo di fiducia. Tra le attività seguite figurava anche la proposta di migrare parte dell’infrastruttura dei repository da GitHub verso un’istanza privata di OneDev, amministrata direttamente dallo stesso collaboratore, dove erano stati creati mirror e copie di sicurezza di numerosi repository della distribuzione. La scelta aveva però suscitato perplessità all’interno del team, che avrebbe preferito mantenere l’infrastruttura principale su piattaforme pubbliche e condivise.

Contestualmente, secondo il comunicato, sarebbero emersi problemi legati ai comportamenti di altri nuovi collaboratori, accusati di atteggiamenti aggressivi nei confronti di utenti e membri della community. La situazione sarebbe progressivamente degenerata fino all’espulsione di uno di loro dai canali ufficiali di comunicazione, decisione che avrebbe provocato l’abbandono del progetto da parte di Beatrici e di un altro collaboratore.
La cancellazione dei repository e il pacchetto dannoso

Secondo OpenMandriva, dopo la rimozione dei collegamenti con l’infrastruttura privata utilizzata come mirror, l’ex collaboratore avrebbe sfruttato i privilegi amministrativi ancora attivi per cancellare parte dei repository presenti su GitHub, interessando anni di sviluppo e contributi accumulati dalla comunità. Parallelamente sarebbe stato pubblicato un pacchetto vuoto all’interno del repository Cooker, configurato in modo da rendere obsoleti tutti i pacchetti collegati agli ambienti desktop GNOME e Cosmic. Un eventuale aggiornamento dei sistemi avrebbe quindi potuto compromettere le installazioni degli utenti che utilizzavano tali desktop environment. Il team ha precisato che il problema è stato individuato rapidamente, consentendo di avviare immediatamente il ripristino dei repository e la correzione dei pacchetti coinvolti prima che l’impatto potesse estendersi ulteriormente.
Ripristino dell’infrastruttura e verifica dei sistemi
Gli sviluppatori hanno avviato un audit completo dell’infrastruttura per verificare l’eventuale presenza di ulteriori modifiche non autorizzate. Secondo quanto comunicato, oltre alla cancellazione dei repository e alla pubblicazione del pacchetto incriminato non sarebbero emerse altre compromissioni dell’infrastruttura di sviluppo. Il lavoro di ripristino ha riguardato sia il recupero dei repository eliminati sia la ricostruzione dello stato corretto del repository Cooker, così da impedire che gli utenti ricevessero aggiornamenti dannosi. La distribuzione invita comunque la propria comunità a seguire esclusivamente le comunicazioni ufficiali e a verificare che i sistemi siano aggiornati con i pacchetti ripristinati. L’episodio evidenzia quanto sia delicata la gestione delle pipeline di distribuzione software nelle moderne distribuzioni Linux, dove un singolo pacchetto può influenzare migliaia di installazioni.
Il progetto punta sulla trasparenza e rivede la gestione dei privilegi
Nel comunicato ufficiale il team riconosce anche alcune responsabilità organizzative, ammettendo di essere intervenuto troppo tardi nei confronti di comportamenti ritenuti incompatibili con la convivenza all’interno della community. Gli sviluppatori spiegano di aver scelto la massima trasparenza per informare tempestivamente utenti e contributori, evidenziando inoltre come le azioni contestate possano avere rilevanza anche sotto il profilo giuridico. Nonostante ciò, il progetto afferma di non voler procedere per il momento con azioni legali, preferendo concentrare gli sforzi sul ripristino della distribuzione e sulla tutela degli utenti. Parallelamente verranno riesaminate le modalità di assegnazione e revoca dei privilegi amministrativi, con particolare attenzione alla gestione degli accessi alle infrastrutture critiche e ai repository di sviluppo.
Una lezione per tutto l’ecosistema open source
L’incidente offre numerosi spunti di riflessione che vanno oltre il singolo progetto. La collaborazione aperta rappresenta uno dei punti di forza dell’ecosistema open source, ma richiede procedure rigorose per la gestione delle autorizzazioni, dei repository e delle infrastrutture condivise. Affidare componenti strategici a piattaforme controllate da singoli collaboratori può aumentare il rischio operativo qualora vengano meno i rapporti di fiducia o emergano conflitti interni. Allo stesso tempo, episodi di questo tipo evidenziano l’importanza di audit periodici, sistemi di backup indipendenti, revoca tempestiva dei privilegi e controlli multilivello sulle pipeline di distribuzione dei pacchetti. La rapidità con cui OpenMandriva ha individuato il problema e avviato il ripristino ha limitato le conseguenze dell’incidente, ma la vicenda costituisce un richiamo per l’intera comunità open source sull’importanza della governance tecnica e della sicurezza delle infrastrutture collaborative.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









