Hay una biblioteca de código abierto que es terriblemente insegura. El autor reconoce que es inseguro. El titular de la biblioteca dice "Esta es una implementación para la plataforma X de la Biblioteca Y". La biblioteca Y es segura, por lo tanto, el titular de que su biblioteca es una implementación de una biblioteca segura Y sugiere que su implementación también sea segura. En ninguna parte su biblioteca o es readme y los documentos mencionan que es inseguro.
Lo mencioné educadamente, enumeré los problemas y le sugerí cortésmente que agregara una advertencia al archivo Léame. Dijo que no creía que nadie pensara que su biblioteca está segura. Señalé que él afirma que su biblioteca es una implementación de Y, y se sabe que YY está diseñada para ser segura. Respondió que vio mi punto de vista y sugirió que envié una solicitud de extracción para actualizar el archivo Léame. Yo si. Eso fue hace 12 meses. Otros lo han mencionado, pero no hay movimiento.
También permítame agregar que su biblioteca no es en realidad una implementación de Y. Es similar, pero necesitaría meses de trabajo para pasar las pruebas de conformidad de Y, por lo que además de ser insegura, también está mintiendo sobre ser una implementación de Y.
¿Qué pasa si hay algo que deba decir que pueda fomentar el movimiento? Mi instinto (que sé que está mal) es básicamente decir que es un imbécil por engañar a la gente y poner a la gente en riesgo y que realmente debería tomar el asunto más en serio. No es la biblioteca más popular, pero según al menos un punto de distribución, se ha descargado 160 veces este mes y hay algunas bibliotecas dependientes. Suponiendo que es un promedio por mes, entonces hasta 1920 personas / proyectos están en riesgo.