Hallo Joachim,
ich verstehe leider nicht, was dieser Text mit supply chain attacks zu
tun hat. Mit irgendwelchen Übertragungsgeschwindigkeiten hat das nichts
zu tun. Ob die Malware schnell oder langsam ankommt, ist völlig egal -
sie sollte gar nicht ankommen. Bei Signaturen und
Berechtigungsmanagement müssen NPM, PyPi und Konsorten deutlich
nachbessern. Repositories wie Debian machen vor, wie es richtig geht.
Das ist aufwendig und macht halt Arbeit. Automatisch und in Echtzeit
geht da nichts.
Aber egal, wieviele Sicherheitsmassnahmen die Repositories ergreifen -
verantwortlich sind und bleiben diejenigen, die libraries in ihrem Code
verwenden. Wer keine 500 libraries gegenchecken und überwachen will,
benutzt halt keine 500, sondern nur zwei.
Viele Grüße
Ilu
Am 14.01.23 um 17:41 schrieb Joachim Jakobs:
Hallo Illu
eine künftige Datenrate von 1,84 Petabit/s [1] bedeutet, dass 1000
Terabyte in vier Sekunden ankommen würden. Das ist ziemlich knapp, um
eine unbeabsichtigte oder unrechtmäßige Datenübertragung abzubrechen.
Das verlangt in der Welt der künftig breitbandig vernetzten Dinge nach
einem System vernetzter Sicherheit -- Sicherheits-/Notfallkonzepte,
physikalischer Einbruchschutz, Signaturen/Verschlüsselungen,
Berechtigungsmanagement, Pentests, Überwachung von
Angriffsoberfläche/Bedrohungen in Echtzeit, ....
Am 14.01.23 um 09:17 schrieb Ilu:> Unabhängig davon sind natürlich npm
und PyPi und andere derartige> Softwareschleudern (fast ohne
Sicherheitsmassnahmen) eine eklatante> Schwachstelle *auch* des Open
Source Ökosystems, wo dringend ein > besseres Konzept hermuss. Es ist
derzeit die Verantwortung des > Programmierers, jede einzelne
eingebundenen Fremdbibliothek aus diesen > Quellen sorgfältig *und
laufend* zu prüfen. Ich denke da an die zu > trauriger Berühmtheit
gelangte "Luca" App, die angeblich ca. 500 externe > Bibliotheken
eingebunden hatte ...
Gutes Beispiel!
Es geht letztlich um die Frage, über welche Qualifikation die
Verantwortliche verfügen muss -- sowie diejenigen, die in ihrem Auftrag
SW planen, entwickeln, einrichten, verwalten oder nutzen, um damit
vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
Die Verantwortliche haftet für den Nachweis der Regelkonformität --
letztlich wird das zu einer Diktatur führen, in der niemand mehr den
vorgegebenen Pfad verlassen darf, ohne dass das Datenpannen, Geldbußen,
Schadenersatz, strafrechtliche Ermittlungen nach sich zieht.
Gruß Joachim
[1]
https://www.derstandard.de/story/2000140231203/1-84-petabits-neuer-chip-transferiert-mehr-bandbreite-als-das
_______________________________________________
FSFE-de mailing list
[email protected]
https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
behandeln: https://fsfe.org/about/codeofconduct
