Из базе кода на којој је формирано ФрееБСД 13 издање, скандалозно је био код који имплементира ВиреГуард ВПН протокол, развијен по налогу Нетгате-а без консултација са програмерима оригиналног ВиреГуард-а, а који је већ укључен у стабилна издања пфСенсе дистрибуције. уклоњена. Након прегледа кода од стране Џејсона А. Доненфелда, аутора оригиналног ВиреГуард-а, испоставило се да је ФрееБСД-ова предложена имплементација ВиреГуард-а део лошег кода, прожет прекорачењем бафера и кршећи ГПЛ.
Имплементација је садржала катастрофалне пропусте у криптографском коду, део протокола ВиреГуард је изостављен, било је грешака које су довеле до пада језгра и заобилажења безбедносних метода, а за улазне податке коришћени су бафери фиксне величине. Присуство стубова уместо провера које увек враћају „труе“, као и заборављени принтфс за отклањање грешака са излазом параметара који се користе за шифровање, као и употреба функције спавања за спречавање услова трке говоре много о квалитету кода.
Неки делови кода, као што је функција црипто_кор, пренети су из ВиреГуард имплементације развијене за Линук, што представља кршење ГПЛ лиценце. Као резултат тога, Јасон Доненфиелд, заједно са Кајлом Евансом и Метом Данвудијем (аутор порта ВиреГуард за ОпенБСД), преузео је задатак да преради проблематичну имплементацију и, у року од недељу дана, у потпуности заменио сав код програмера којег је ангажовао Нетгате . Модификована верзија је објављена као посебан сет закрпа, смештена у репозиторијум пројекта ВиреГуард и још увек није укључена у ФрееБСД.
Занимљиво је да у почетку није било знакова проблема Нетгате, који је желео да користи ВиреГуард у пфСенсе дистрибуцији, ангажовао је Метјуа Мејсија, који је добро упућен у ФрееБСД кернел и мрежни стек, укључен је у исправке грешака и има искуства у развоју; мрежни драјвери за овај оперативни систем. Маци је добила флексибилан распоред без рокова или провјера на полугодишту. Програмери који су упознали Мејсија док су радили на ФрееБСД-у описали су га као талентованог и професионалног програмера који није правио више грешака од других и адекватно је одговарао на критике. Лош квалитет имплементационог кода ВиреГуард за ФрееБСД био је изненађење за њих.
После 9 месеци рада, Мејси је додао своју имплементацију у ХЕАД грану, која је коришћена за формулисање ФрееБСД 13 издања, прошлог децембра без завршетка прегледа и тестирања. Развој је обављен без комуникације са програмерима оригиналног ВиреГуард-а ОпенБСД и НетБСД портови. У фебруару, Нетгате је интегрисао ВиреГуард у стабилно издање пфСенсе 2.5.0 и почео да испоручује заштитне зидове засноване на њему. Након што су идентификовани проблеми, код ВиреГуард је уклоњен из пфСенсе-а.
Додати код је открио критичне рањивости које су коришћене у 0-дневним експлоатацијама, али Нетгате у почетку није признао постојање рањивости и покушао је да оптужи програмера оригиналног ВиреГуард-а за нападе и пристрасност, што је негативно утицало на његову репутацију. Програмер порта је у почетку одбацио тврдње о квалитету кода и сматрао их преувеличаним, али је након демонстрације грешака скренуо пажњу на чињеницу да је заиста важан проблем недостатак одговарајућег прегледа квалитета кода у ФрееБСД-у, јер су проблеми остали неоткривени много месеци (Представници Нетгате-а су навели да је јавна рецензија покренута још у августу 2020, али су појединачни програмери ФрееБСД-а приметили да је у Пхабрицатор-у рецензију затворио Маци без довршетка и уз игнорисање коментара). ФрееБСД Цоре Теам је одговорио на инцидент обећавајући да ће модернизовати своје процесе прегледа кода.
Метју Мејси, програмер проблематичног ФрееБСД порта, прокоментарисао је ситуацију рекавши да је направио велику грешку што је преузео посао а да није био спреман да имплементира пројекат. Мејси резултат објашњава емоционалним сагоревањем и резултатом проблема који су настали услед пост-Цовид синдрома. Истовремено, Мејси није нашао одлучност да одустане од обавеза које је већ преузео и покушао је да пројекат приведе крају.
На Мејсијево стање можда је утицала и недавна затворска казна коју је добио због незаконитог покушаја да избаци станаре из куће коју је купио, а који нису хтели да се добровољно иселе. Уместо тога, он и његова супруга су тестерили подне греде и пробијали рупе у подовима како би кућа била неупотребљива, а покушали су и да застраше станаре, проваљивали су у усељене станове и износили им ствари (акција је класификована као провала). Да би избегао одговорност за своје поступке, Мејси и његова супруга су побегли у Италију, али су изручени Сједињеним Државама и одслужили су више од четири године затвора.
Извор: опеннет.ру