• aksdb@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    8
    arrow-down
    1
    ·
    1 year ago

    Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.

    Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.

    Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.

    • yA3xAKQMbq@lemm.ee
      link
      fedilink
      Deutsch
      arrow-up
      3
      arrow-down
      3
      ·
      1 year ago

      Ich glaube eher, du hast den Blogpost nicht verstanden.

      Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.

      Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.

      • aksdb@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        6
        arrow-down
        1
        ·
        edit-2
        1 year ago

        Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!

        Das ist sogar gleich im ersten Satz meines Kommentars!