覺得「使用開放原始碼專案是否使用到中國使用者的程式碼造成安全風險」比較像是假議題
如果在收別人的 PR 卻又沒有 review
不管是誰 commit 的程式都有風險

NCC資安長孫雅麗：臺灣3G時代就禁中國產品領先世界，但中國開源碼已成隱憂／沃草

預算都低到只能外包或拿現成的lib呼叫了怎麼可能會有review呢

所以用之前的 audit 很重要啊