確かに。若干、遅れることがあっても年内には9.1リリースが出るだろうと思っていたけれど、これだと「本当に影響は無いのか？」を徹底的にチェックするとなると、コアメンバーやコミッターの誰かが影響調査でパワーを割かれるのはやむを得ないでしょうね。
でも、ほかの企業などが不正親友を受けた場合と比べ、非常に率直に状況を公開しているな、とは感じますね。営利目的ではないから隠す必要は無いのでしょうが。
サードパーティーの ports を cvsup/csup しているなら、すぐに portsnap に切り替えろと言っていますね。
「SSHキーが開発者から流出」の原因ですが…稼動状態のPCをひったくられた、弟にPCを使われた、NFS でマウントされた $HOME に .ssh が保存されていた、モラルの無いマシンの管理者がファイルのバックアップデータを読んだ、あたりでしょうか。