• RQG
    link
    Deutsch
    21 year ago

    Ich denke auch eher das läuft unter billigend in Kauf genommen und fahrlässig als unter Vorsatz.

    • @[email protected]
      link
      fedilink
      Deutsch
      71 year ago

      Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.

      Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.

      Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.

      • @[email protected]
        link
        fedilink
        Deutsch
        01 year ago

        Ich glaube eher, du hast den Blogpost nicht verstanden.

        Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.

        Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.

        • @[email protected]
          link
          fedilink
          Deutsch
          5
          edit-2
          1 year ago

          Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!

          Das ist sogar gleich im ersten Satz meines Kommentars!

      • RQG
        link
        Deutsch
        21 year ago

        Danke für die Korrektur. Dann ist wohl beides möglich.