Wachtwoordmanager KeePassXC laat Debian-gebruikers straks kiezen tussen de 'volledige' en 'minimale' versie, zo heeft de maintainer bekendgemaakt. KeePassXC is een opensourcewachtwoordmanager voor Linux, macOS en Windows. Het is een 'fork' van KeePassX, wat weer een port van wachtwoordmanager KeePass is. Onlangs ontstond er grote ophef omdat de maintainer aankondigde alle netwerkfuncties uit de wachtwoordmanager te verwijderen.

Aanleiding was de backdoor die aan datacompressietool XZ werd toegevoegd, zo laat hij tegenover LWN.net weten. Optionele features zouden voor meer kwetsbaarheden kunnen zorgen dan het kerndeel van de applicatie, omdat de features alleen door één maintainer worden bekeken. "Het was een fout om standaard alle plug-ins mee te leveren", meldde de maintainer drie weken geleden. "Het is onze verantwoordelijkheid om onze gebruikers standaard de veiligst mogelijke optie te bieden."

De afgelopen weken waren er felle discussies tussen voor- en tegenstanders. De uiteindelijke impact op gebruikers zal echter beperkt zijn. Alleen in het geval van gebruikers van Debian unstable of testing kunnen die opeens met de 'uitgeklede' versie te maken krijgen. Gebruikers van stabiele versies van Debian, Ubuntu en andere Debian-afgeleide versies krijgen een keuze. Bij de lancering van Debian Trixie moeten gebruikers kiezen of ze de 'volledige' of 'minimale' versie willen, aldus de maintainer. Het gaat zowel om upgrades als nieuwe installaties. Ook bij toekomstige andere versies zal deze keuze blijven bestaan.