Zum Anlass: https://heise.de/-6226975
Das ist ja „nicht ganz“ das erste Vorkommnis dieser Art („Verseuchung breit genutzer und von der Community gut unterstützer Libarys mit Schadsoftware“) und sowas muss wohl auch bei der Vertragsgestaltung berücksichtigt werden. Denn entweder man hat den Vertrag mit „wird schadcodefrei und lauffähig auf $Browsern und mit Webserver x, PHP y und Datenbank z übergeben“ gemacht - macht dann die Website, kassiert sein Geld und vergisst diese oder man überwacht womöglich sehr viele Jahre lang das Netz auf solche Meldungen und warnt dann den Kunde, repariert ggf. den ganzen Server.
Stellt sich die Frage, wie man die Kosten hierfür abschätzt.
Was meint Ihr?