不要高看开源的监督，但是也不要小看开源的监督，这要看项目的关注度。

前2两年的xz ***就是案例。

但这只是隐蔽的角落，没有什么人关注，差点成功了（或者说本来就成功了，只是有一个闲的蛋疼的微软工程师钻牛角尖然后被发现了）。

但是rust这种级别的项目，几乎一直在聚光灯下，一个字符的变动都会被一些闲得蛋疼的人（我不是我没有）点开看看改了什么玩意儿，至少源代码上难度和xz案例不是一个数量级的。

你是不是觉得怎么可…。