Ist eine Fahrzeug-App unsicher?

[chrigu]

Jede App kann potenziell unsicher sein, es kommt immer darauf an, wer die hergestellt hat und wer die Sicherheit garantiert und kontrolliert.
Bei einer Open Sourceapp wie auch bezahlapp liegt die Sicherheit beim Herausgeber der App, ob er dir dies schriftlich gibt das seine App sicher ist, mag ich zu bezweifeln, so gesehen ist jede App potenziell unsicher.

Ob man eine Kühlung/Heizung über eine App für ein Auto steuern muss…. Aber sicher, wenn es angeboten wird soll man es auch nutzen. Wer sowas als Teufelszeug betitelt und „Müll boykottieren“ soll, ist eher gegen den Fortschritt. Jeder darf seine Meinung haben, aber in einem Forum über pc Technik und Automation ist man mit dieser aussage eher fehl am Platz.

Der Hersteller der App hat bestimmt auch ein Forum, mit dem andere Technikaffine Personen ihre Erfahrungen teilen. Vielleicht sogar das Motor-Talk Forum aus DE.

 

[conf_t]

es gibt sicher genug Leute die den Code schon mal verifiziert haben.

Genau das ist das Problem bei Open Source, wenn jeder so denkt, wie glaubst du kommen sonst immer mal wieder Backdoors in Open Source?

 

[BeBur]

OVMS ist open source, es gibt sicher genug Leute die den Code schon mal verifiziert haben. Ist ja schon ein recht nerdiges Thema. Größere Pannen oder Backdoors würde ich da nicht erwarten.

Das finde ich schwierig als Herangehensweise. Bei Closed Source kann ich auch sagen "Da gibt es bestimmt Qualitätssicherung und Menschen, die den Code verifizieren. Würde daher jetzt keine größeren Pannen oder Backdoors erwarten". Diese Art blinder Hoffnung ist bei Closed Source genau so falsch wie bei Open Source.

Scheint aktuell 2-3 Personen zu geben (Dieses Repo), die das pflegen und nochmal 1-2 die Fahrzeug daten aktuell halten. Da Repo hat so ganz grob 500.000 Zeilen Code (nur .c, .cpp, .h) + 150.000 Zeilen Code für die 6 Jahre alte Version einer Javascript Engine. Der meiste code scheinen ECU Definitionen zu sein.

Ganz ehrlich, praktisch niemand schaut wirklich tiefer über solche Repos, wenn er nicht daran mitarbeitet oder dafür bezahlt wird ein Audit zu machen.

Ich sag nur Log4Shell, das war im Prinziip eine vulnerability die kein Bug sondern ein feature war, die Dokumentation von Log4J eingehender zu studieren hätte vermutlich ausgereicht das Problem zu sehen.

 

[h00bi]

praktisch niemand schaut wirklich tiefer über solche Repos

Geht ja auch gar nicht zwingend ums "tiefer". Müsste man ja eh immer wieder wiederholen.
Und nach meiner Erfahrung: Je nerdiger ein Thema, desto eher schaut mal jemand auch bei kleineren Projekten tiefer rein.

Was ist denn deine Heransgehensweise? Verwende kein Open Source und bete für gutes Closed Source?

 

[BeBur]

Und nach meiner Erfahrung: Je nerdiger ein Thema, desto eher schaut mal jemand auch bei kleineren Projekten tiefer rein.

Das muss aber ein sehr kleines Projekt sein, das "mal rein schauen" wirklich was bringt. Als Ausschlusskriterium kann das was bringen: Wenn man schon beim draufgucken mehrere handwerkliche Fehler sieht, dann sollte man die Software keinesfalls einsetzen.

Was ist denn deine Heransgehensweise?

Sichtung des Repos: Wie viele (transitive) Abhängigkeiten, wie viel Code, wie viele Menschen arbeiten seit wann an dem Code. Was für Issues sind offen/geschlossen. Allgemeine Umsetzung von Industriestandards wie Testabdeckung oder statische Analyse. Das wägt man dann mit den Alternativen ab und wie schlimm es kommen kann, wennn es schlimm kommt.