Rosehub 行動，為數千開源項目打更新檔

2016 年 11 月，舊金山交通局的計算機系統遭到了勒索軟體的攻擊，攻擊者利用了名為 mad gadget 的 java 對象反序列化漏洞，漏洞影響多個版本的 apache commons collections，早在 2015 年已經披露和修複，大部分受影響的企業産品也都釋出了安全公告和更新。然而開源項目并沒有人每天都去讀安全公告，它們主要依靠志願者的通知。在漏洞披露幾個月後，一位 google 雇員注意到衆多依賴 collections 的知名開源庫仍然沒有打上更新檔。這位雇員采取了行動，向這些開源項目遞交 pull requests 修複漏洞 ，她還招募了同僚一起為開源項目打更新檔。但很快他們注意到，這個工作的規模比預期的更為龐大。他們不僅僅需要為幾個大的開源項目打更新檔，還要為依賴于這些開源庫的成百上千個下遊項目打更新檔。google 雇員利用 bigquery 搜尋 github 上公開代碼的項目，評估使用不安全的collections 舊版本的開源項目數量，發現多達 2,600 個不同項目仍然使用不安全的版本。大約 50名 google 雇員利用 20% 的時間發起了 rosehub 行動，為所有已知受影響的項目更新代碼打上更新檔。