主要观点：

• 此次事件是关于 xz 压缩库的后门问题，后门构建过程明确在除 Linux x86 - 64 平台外中断。
• 恶意代码的构建阶段隐藏较好，相关测试文件本身无害，5.6.1 增加了在非 Linux 平台早期中断的测试。
• 识别出 xz Git 仓库中与后门相关的 4 个提交，其中两个直接添加和更新隐藏恶意代码，一个引入无意的空格更改，另一个是与后门无关的恶意 CMake 构建错误。
• 网上关于此后门的很多说法基于推测和对事实的选择性解读。

关键信息：

• 构建到主机的.m4 宏包被修改并用于生成修改后的配置脚本。
• 不同阶段的脚本在不同平台上有不同的行为和测试，以确保在特定环境中执行。
• 实际插入到 Linux x86 - 64 上 liblzma 的代码通过特定条件触发恶意行为。
• 恶意提交的时间和内容等细节。

重要细节：

• 2024 - 02 - 23 的 cf44e4b 提交添加测试文件，6e63681 提交更新测试文件，82ecc53 提交修复 GCC 导致的虚假 Valgrind 错误报告并引入无意空格更改，8c9b8b2 提交修复错误的空格更改。
• 2024 - 02 - 26 的 328c52d 提交引入 CMake 构建的恶意错误导致 Linux 沙箱禁用。
• 恶意代码通过特定条件在 SSH 连接中触发远程代码执行。