• RQG@lemmy.world
    link
    fedilink
    Deutsch
    arrow-up
    2
    ·
    1 year ago

    Ich denke auch eher das läuft unter billigend in Kauf genommen und fahrlässig als unter Vorsatz.

    • aksdb@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      7
      ·
      1 year ago

      Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.

      Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.

      Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.

      • yA3xAKQMbq@lemm.ee
        link
        fedilink
        Deutsch
        arrow-up
        2
        ·
        1 year ago

        Ich glaube eher, du hast den Blogpost nicht verstanden.

        Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.

        Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.

        • aksdb@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          6
          ·
          edit-2
          1 year ago

          Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!

          Das ist sogar gleich im ersten Satz meines Kommentars!