Selon Hackaday, libxml2 — une bibliothèque centrale pour le traitement XML/XSLT utilisée dans GNOME, des navigateurs web et de nombreux logiciels — a brièvement perdu son unique mainteneur après le départ programmé de Nick Wellnhofer, avant que deux nouveaux développeurs ne reprennent le projet.
L’article retrace l’historique : au début des années 2000, l’auteur original Daniel Veillard passe la main à Nick Wellnhofer. Tous deux agissent comme bénévoles, avec pour tout soutien notable un don de Google, tandis que de grandes entreprises intègrent la bibliothèque et envoient des rapports de bugs.
Le texte met en avant la pression spécifique aux signalements de failles de sécurité : la réception d’un rapport implique des attentes élevées (analyse immédiate, correctif, calendrier de patch, dépôt de CVE), souvent sans merge request ni cas de test fourni. Cette dynamique aurait contribué au burnout de Nick sur libxml2 et libxslt. ⚠️
Le risque souligné est qu’en l’absence de mainteneur lors d’une nouvelle CVE à haut risque, l’écosystème dépendant de libxml2 se retrouve exposé. La situation s’est toutefois débloquée avec l’arrivée de deux nouveaux mainteneurs, même si cette rotation est présentée comme un signal préoccupant quant à la soutenabilité du modèle.
En conclusion, l’article met en lumière la tension entre l’attente d’un logiciel gratuit et exempt de bugs critiques et la réalité du maintien bénévole, notant que des mécanismes comme les bounties peuvent surtout générer des « maux de tête ». C’est un article de presse spécialisé qui informe sur la gouvernance du projet et ses implications de sécurité pour l’écosystème.
🔗 Source originale : https://hackaday.com/2025/12/23/libxml2-narrowly-avoids-becoming-unmaintained/