Sundhedsministeriet overvejer at åbne kildekoden til Smittestop-app

Men det er jo gratis, for den danske stat at bruge kildekoden, i stedet for at starte forfra. Så er det da lige meget, om nogen andre har betalt for at lave den.

Det interessante er hvorfor man overhoved bruger skatteydernes penge på noget som jo er gratis?</p>
<p>Hvis Tyskland eller Italien allerede har publiceret en open source-løsning både app og back-end - så skal brugerinterfacet jo bare oversættes til dansk og måske et hurtigt reveiw på om sikkerheden er i orden.

jeg har forsøgt at læse og forstå din kommentar med cykelstierne 2-3 gange, men kan ikke. Måske det er derfor?

René skriver om noget som "jo er gratis". Hvad er det, der er gratis? Vel næppe udviklingen af det som Tyskerne og Italienerne har lavet. På samme måde er cykelstierne gratis at benytte, men der er trods alt nogen som har betalt for at få dem lavet.

Det er også gratis at køre på cykelstierne. Hvem har betalt dem?

Ok, 9 tommel ned og ikke en eneste op. Kan nogen forklare mig hvad det er jeg åbenbart har misset??

jeg har forsøgt at læse og forstå din kommentar med cykelstierne 2-3 gange, men kan ikke. Måske det er derfor?

Jeg forstår ikke helt hvad i vil bruge backend'en til i dette tilfælde. I kan jo se alt det data som App'en indsamler direkte på enheden ved blot, at decompile eller reverse engineer filen? Selve analysen af data i backend'en har jo ikke noget med sagen at gøre.

Det er vel kun i Backenden, du kan se om fx IP bliver logget og måske gemt uforsvarligt.

Det er også gratis at køre på cykelstierne. Hvem har betalt dem?</p>
<p>Mon ikke tyskerne gerne ville have lidt penge for deres udviklingsarbejde?

Ok, 9 tommel ned og ikke en eneste op. Kan nogen forklare mig hvad det er jeg åbenbart har misset??

I Android er API'et tilgængeligt igennem Google Play services, hvilket gør at det er tilgængeligt på Android 6 og frem (seneste version er 10).

Selv hvis jeg havde en nyere Android installeret, får Google Play "services" ikke dæleme adgang til min telefon. MicroG må klare, hvad det nu kan i stedet.

Tak for svaret.

Goddag man økseskaft. Læs lidt op på fakta. Kravene til device / OS er 100% krav fra Apple og Google's side.

Jeg læser også om andet end IT, så jeg kan i sagens natur ikke nå at læse alt, derfor spørgsmålstegnet :(

Du har fået en thumbs up alligevel.

Det er også oplagt, at nogen af Netcompanys konkurrenter ville være interesserede i at kritisere deres direkte konkurrents løsninger.

Jeg forstår ikke helt hvad i vil bruge backend'en til i dette tilfælde. I kan jo se alt det data som App'en indsamler direkte på enheden ved blot, at decompile eller reverse engineer filen? Selve analysen af data i backend'en har jo ikke noget med sagen at gøre.

Arbejder til dagligt med IT-sikkerhed og Mobile App testing er en af de største dicipliner i øjeblikket. De fleste App's i dag bliver testet uden brug af kildekode men ved reverse engineering, så åbning af kildekoden vil ikke ændre noget.

Der er sikkert langt færre Android-telefoner, som får adgang til exposure api'et.

Jeg kan ikke se at det lovligt at bruge skatteydernes penge på noget som grundlæggende er gratis.

Det er også gratis at køre på cykelstierne. Hvem har betalt dem?

Mon ikke tyskerne gerne ville have lidt penge for deres udviklingsarbejde?

I betragtning af at 94% af alle iphones pt kører ios 13, så kan jeg sådan set godt forstå Apple's valg. Der er sikkert langt færre Android-telefoner, som får adgang til exposure api'et.

Open Source er ikke et argument for tryghed og sikkerhed. Medmindre du selv læser den igennem, forstår den og kompilere den i et sikkert miljø. (hvilket er umuligt på de fleste lukkede mobilplatforme og forbrugere)

Øhh - til Android (som jo er den største mobil platform!) - kan jeg selv build'e app'en (hvis den var Open Source) - og dermed VIDE præcis HVAD der kører på min mobil - og jeg og andre programmører kan kigge koden igennem for åbenlyse problemer - så de vil skulle skjule onde hensigter betydeligt bedre, end de behøver når kildekoden IKKE er tilgængelig.

Open Source er på ingen måde en garanti for "perfekt og sikker kode" - men det faktum at jeg VED hvad jeg kører på min computer/tlf - og har mulighed for at samarbejde med andre, og lave de ændringer/forbedringer jeg har lyst til (f.ex. hoppe ind i app'ens kommunikation over internettet - og afbryde den - eller sende den forbi en software firewall før det bliver sendt etc.) - er ting jeg pludselig kan.. Eller bare forbedre app'en, hvis jeg savner en feature (og har kompetancerne).

I praksis med 20+ år med Open Source, har jeg bare konstateret at udbredte Open Source komponenter meget sjældent har problemer, som nogen i community'et af brugere - ikke allerede har løst, og som derfor kommer mig til gavn - da jeg kan bruge deres fork (hvis ikke de får ændringen ind i projektet hvilket de jo oftest gør).

Derfor er det også et KÆMPE problem at så mange lande, har valgt at lave deres EGEN version (selvom mange er Open Source) - da community'et til den enkelte så bliver mindre :(

Det kan man selvfølgelig mene, men alt andet end lige vil åbning af kildekoden give mulighed for at uvildige eksperter og interesserede kunne grave sig ned i kildekoden og kigge den igennem, samt evt. bidrage med forbedringer.

Smukt opsummeret!

Det er også oplagt, at nogen af Netcompanys konkurrenter ville være interesserede i at kritisere deres direkte konkurrents løsninger.

De fleste IT-sikkerheds specialister vil kunne analysere den og forstå koden som afvikles, det behøver man ikke kilden til.

@Dennis Nilsson: Kildekoden giver bedre forhold for at undersøge software. Især, hvis det handler om en backend, som ikke afvikles på brugerens platform.. den skulle man jo i så fald angribe med pen-testing, men det kræver driftsansvarliges tilladdelse til at angribe deres produktionsmiljø og helt ærligt.. det lyder urealistisk.

Tak til Jens Beltofte for tydelig forklaring. Under normale omstændigheder er Apple’s strategi meget forståelig ud fra indlysende økonomiske betragtninger. Men set i corona-sammenhæng, og det er jo åbenbart dér, vi skal se denne app, forkommer fastholdelsen af Apples standardstrategi mig bestemt ikke særligt rosværdig, set fra et ældre borgersegments platform.

Jeg siger ikke, at det ikke er interessant, at have muligheden for, at læse den oprindelige kildekode men det er ikke kildekoden som er interessant men koden som afvikles. De fleste IT-sikkerheds specialister vil kunne analysere den og forstå koden som afvikles, det behøver man ikke kilden til.

Open Source er ikke et argument for tryghed og sikkerhed. Medmindre du selv læser den igennem, forstår den og kompilere den i et sikkert miljø. (hvilket er umuligt på de fleste lukkede mobilplatforme og forbrugere)

Personligt ville jeg ikke bruge tid eller have kompetencer til at sætte mig ind i kildekoden, men jeg ville klart være mere tryg ved at installere app'en, hvis jeg vidste at kildekoden var åben så uvildige eksperter kunne kigge på det og rapportere evt. sikkerhedsmæssige problemer.

Det forudsætter selvfølgelig at ministeren, ministeriet, Digst og Netcompany tager den feedback der måtte komme til sig, og håndterer evt. henvendelser omkring sikkerhedshuller med respekt og får dem lukket.

men hvad med at også gøre appen tilgængelig for iPhones med iOS 11 og 12. Det var sådan set mit indtryk, at appen’s funktioner er lavet for at blive brugt til en bred forebyggelse af spredning af corona, for så mange som muligt, men det kan jeg jo godt se nu, at jeg indtil videre fuldstændigt har misforstået. Undskyld fra to 75-årige med i øvrigt velfungerende iPhone 5s hhv. 6.

Der er ikke så meget myndighederne kan gøre ved det, ud over at lagre data centralt, hvilket de fleste lande inkl. Danmark har fravalgt at sikkerhedsmæssige årsager.

Open Source er ikke et argument for tryghed og sikkerhed. Medmindre du selv læser den igennem, forstår den og kompilere den i et sikkert miljø. (hvilket er umuligt på de fleste lukkede mobilplatforme og forbrugere)

Selvfølgelig fint med Open Source hvis man gerne vil kopiere koden eller bygge videre på den, men det er nok ikke det som er tænkt.

men hvad med at også gøre appen tilgængelig for iPhones med iOS 11 og 12. Det var sådan set mit indtryk, at appen’s funktioner er lavet for at blive brugt til en bred forebyggelse af spredning af corona, for så mange som muligt, men det kan jeg jo godt se nu, at jeg indtil videre fuldstændigt har misforstået. Undskyld fra to 75-årige med i øvrigt velfungerende iPhone 5s hhv. 6.

Sig mig, har Google/Apple ikke skrevet 90% af backenden allerede plus lavet en referenceapp?

om oven i købet ikke kan køre på en forholdsvis stor del smartphones

Sig mig, har Google/Apple ikke skrevet 90% af backenden allerede plus lavet en referenceapp? Sådan har jeg forstået det. At DK så vælger at bruge 20 millioner på at kaste noget proprietært kode, som oven i købet ikke kan køre på en forholdsvis stor del smartphones, henover forekommer mig fuldkommen absurd, men det er desværre ikke overraskende.

Det interessante er hvorfor man overhoved bruger skatteydernes penge på noget som jo er gratis?

Hvis Tyskland eller Italien allerede har publiceret en open source-løsning både app og back-end - så skal brugerinterfacet jo bare oversættes til dansk og måske et hurtigt reveiw på om sikkerheden er i orden.

Jeg kan ikke se at det lovligt at bruge skatteydernes penge på noget som grundlæggende er gratis.

1. Backenden er efter Sundheds- og Ældreministeriets egne ord så ringe, at der omgående ville blive fundet fejl, hvis den blev åbnet.

eller

2. Sundheds- og Ældreministeriet tror at "Open Source" betyder, at man gør (adgangs)koderne offentlige [idet det vil gøre løsningen sårbar]

this is why we can't have nice things

Hvorfor kan vi ikke indføre at hvis software skal udvikles af en vendor eller et konsulenthus for offentlige midler, så skal det fremgå af standardkontrakten at kildekoden hostet på gitlab.detoffentlige.dk tagget med versionsnummeret indgår som en af leverencerne?

Og hvis man ikke kan tåle det af "sikkerhedshensyn", så er man ikke klar til release. For det er man nemlig faktisk ikke...

Så er det ikke sikkert. Punktum. Det eneste man kan sige er at sikkerheds hullernehullerne ikke er opdaget endnu.

Denne sætning:

Adgang til koderne til appens back-end vil ikke blive gjort tilgængelige, idet det vil gøre løsningen sårbar.

Stråler af årsagen til hvorfor IT i det offentlige ikke bliver bedre lige foreløbigt.

»Det skal bemærkes, at det kun vil være tale om kildekoden til selve appen og ikke kildekode til back-end'en, som der evt. vil blive givet adgang til. Adgang til koderne til appens back-end vil ikke blive gjort tilgængelige, <strong>idet det vil gøre løsningen sårbar</strong>.«

(Min fremhævning)

Så vidt jeg kan se, har den tyske "corona warn app" også lagt kildeteksten til back-end på github:

https://github.com/corona-warn-app/cwa-server

om det så er den kode, der faktisk kører, ved jeg selvfølgelig ikke.

Om sårbarheden derved øges og hvordan, synes jeg Ministeriet selv skal svare på.