Umgang mit Open-Source Projekten

Hallo,

ich habe heute ein wenig schmunzeln müssen, wenn gesagt wurde, dass es in Zukunft öfter vorkommen sollte, Softwareprojekte als Open-Source anzugehen, wie die Corona-Warn-App von Telekom und SAP erstellt wurde. Den Quellcode in Github öffentlich stellen usw. ist alles schön und gut, aber es ist niemals die Garantie da, das nicht irgend ein geheimer Branch auf einem nich öffentlich zugänglichen Projekt auf Github oder sonstwo liegt und parallel entwickelt wird. Wer kann garantieren, dass es nicht so ist? Ich bin jetzt kein Verschwörungstheoretiker und vertraue grundsätzlich der App, aber ich will nur sagen, dass das bloße Offenlegen des Quellcodes in Github keine Garantie dafür ist, dass genau dieser Code durch den Interpreter läuft :wink:

Schöne Grüße!

1 Like

Natürlich könnte das sein, aber ist halt eben Verschwörungsglaube. So wie ich die letzte Folge Logbuchnetzpolitik verstanden habe, wäre es durchaus möglich die App (zumindest Android) zu dekompilieren und nachzuforschen.

Der eigentlich wichtige Punkt von „Public Money, public Code“ ist doch zu sehen, was wie umgesetzt wurde. Genau diese Nachvollziehbarkeit ist gegeben und kann so massive Sicherheitslücken wie z.B. bei PC-Wahl verhindern.

Hi,
die von dir gewünschte Technik heißt reproducible builds. Damit kann man dann nachvollziehen das auch genau der Code zum bauen der App benutzt wurde. Steht auch schon auf der Agenda des Telekom Teams ist aber noch zurückgestellt. Technisch versierte Leute können auch das APK vom Playstore decompilieren und dürften dann so ziemlich das gleiche sehen, weil der Code sehr sauber ist. Aber sicherer ist es wenn die builds nachvollziehbar sind.

VG
Xyne

1 Like

Ist es denn ausgeschlossen, dass das BKA oder der Verfassungsschutz beim RKI/Telefkom ankommt und verlangt, dass für bestimmte Nutzer ein Staatstrojaner eingebaut wird?

Interessanter Punkt! Für bestimmte User wohl eher schwierig, dass bräuchte dann ja die Unterstützung von Apple oder Google. Und die wiederum hätten doch viel bessere Daten als nur die aus der CWA. Und wenn wir von der Dekompilierbarkeit der Android App ausgehen, wären dort ja Spuren sichtbar, wenn für alle eine Hintertür eingebaut wäre?