Sundhedsministeriet overvejer at åbne kildekoden til Smittestop-app
Som mange andre lande har Danmark fået udviklet en app, der har til formål at opspore smittekæder mens de mest indgribende corona-tiltag bliver ophævet. Men i kontrast til WHO's anbefalinger, og i modsætning til lande som Italien, Tyskland, Østrig og Storbritannien har Danmark ikke valgt at gøre kildekoden open source.
Nu oplyser Sundheds- og Ældreministeriet til Version2, at ministeriet er i dialog med Digitaliseringsstyrelsen og Netcompany om, hvorvidt koden til appen skal gøres offentlig tilgængelig.
- emailE-mail
- linkKopier link

Fortsæt din læsning
Kun 30 procents engelsk tekst: Verdens største open source-LLM styrker den sproglige diversitet
Indhold fra DataTech9. august 2022META lancerer verdens største open source-sprogmodel: Kan presse andre til at åbne op
Indhold fra DataTech10. maj 2022
- Sortér efter chevron_right
- Trådet debat
Men det er jo gratis, for den danske stat at bruge kildekoden, i stedet for at starte forfra. Så er det da lige meget, om nogen andre har betalt for at lave den.
- more_vert
- insert_linkKopier link
Det interessante er hvorfor man overhoved bruger skatteydernes penge på noget som jo er gratis?</p>
<p>Hvis Tyskland eller Italien allerede har publiceret en open source-løsning både app og back-end - så skal brugerinterfacet jo bare oversættes til dansk og måske et hurtigt reveiw på om sikkerheden er i orden.
jeg har forsøgt at læse og forstå din kommentar med cykelstierne 2-3 gange, men kan ikke. Måske det er derfor?
René skriver om noget som "jo er gratis". Hvad er det, der er gratis? Vel næppe udviklingen af det som Tyskerne og Italienerne har lavet. På samme måde er cykelstierne gratis at benytte, men der er trods alt nogen som har betalt for at få dem lavet.
- more_vert
- insert_linkKopier link
Det er også gratis at køre på cykelstierne. Hvem har betalt dem?
Ok, 9 tommel ned og ikke en eneste op. Kan nogen forklare mig hvad det er jeg åbenbart har misset??
jeg har forsøgt at læse og forstå din kommentar med cykelstierne 2-3 gange, men kan ikke. Måske det er derfor?
- more_vert
- insert_linkKopier link
Jeg forstår ikke helt hvad i vil bruge backend'en til i dette tilfælde. I kan jo se alt det data som App'en indsamler direkte på enheden ved blot, at decompile eller reverse engineer filen? Selve analysen af data i backend'en har jo ikke noget med sagen at gøre.
Det er vel kun i Backenden, du kan se om fx IP bliver logget og måske gemt uforsvarligt.
- more_vert
- insert_linkKopier link
Det er også gratis at køre på cykelstierne. Hvem har betalt dem?</p>
<p>Mon ikke tyskerne gerne ville have lidt penge for deres udviklingsarbejde?
Ok, 9 tommel ned og ikke en eneste op. Kan nogen forklare mig hvad det er jeg åbenbart har misset??
- more_vert
- insert_linkKopier link
I Android er API'et tilgængeligt igennem Google Play services, hvilket gør at det er tilgængeligt på Android 6 og frem (seneste version er 10).
Selv hvis jeg havde en nyere Android installeret, får Google Play "services" ikke dæleme adgang til min telefon. MicroG må klare, hvad det nu kan i stedet.
- more_vert
- insert_linkKopier link
Tak for svaret.
Goddag man økseskaft. Læs lidt op på fakta. Kravene til device / OS er 100% krav fra Apple og Google's side.
Jeg læser også om andet end IT, så jeg kan i sagens natur ikke nå at læse alt, derfor spørgsmålstegnet :(
Du har fået en thumbs up alligevel.
- more_vert
- insert_linkKopier link
Mon ikke du her nærmer dig sagens kerne, nemlig at det arbejde hofleverandøren udfører er så ringe at det ikke kan tåle dagens lys - så lidt aktivt lobbyarbejde med at vride armen om på populitikerne, så de ikke forfalder til åbenhed som jo kan skade forretningen.Det er også oplagt, at nogen af Netcompanys konkurrenter ville være interesserede i at kritisere deres direkte konkurrents løsninger.
- more_vert
- insert_linkKopier link
Jeg forstår ikke helt hvad i vil bruge backend'en til i dette tilfælde. I kan jo se alt det data som App'en indsamler direkte på enheden ved blot, at decompile eller reverse engineer filen? Selve analysen af data i backend'en har jo ikke noget med sagen at gøre.
Arbejder til dagligt med IT-sikkerhed og Mobile App testing er en af de største dicipliner i øjeblikket. De fleste App's i dag bliver testet uden brug af kildekode men ved reverse engineering, så åbning af kildekoden vil ikke ændre noget.
- more_vert
- insert_linkKopier link
I Android er API'et tilgængeligt igennem Google Play services, hvilket gør at det er tilgængeligt på Android 6 og frem (seneste version er 10).Der er sikkert langt færre Android-telefoner, som får adgang til exposure api'et.
- more_vert
- insert_linkKopier link
Jeg kan ikke se at det lovligt at bruge skatteydernes penge på noget som grundlæggende er gratis.
Det er også gratis at køre på cykelstierne. Hvem har betalt dem?
Mon ikke tyskerne gerne ville have lidt penge for deres udviklingsarbejde?
- more_vert
- insert_linkKopier link
I betragtning af at 94% af alle iphones pt kører ios 13, så kan jeg sådan set godt forstå Apple's valg. Der er sikkert langt færre Android-telefoner, som får adgang til exposure api'et.
- more_vert
- insert_linkKopier link
Open Source er ikke et argument for tryghed og sikkerhed. Medmindre du selv læser den igennem, forstår den og kompilere den i et sikkert miljø. (hvilket er umuligt på de fleste lukkede mobilplatforme og forbrugere)
Øhh - til Android (som jo er den største mobil platform!) - kan jeg selv build'e app'en (hvis den var Open Source) - og dermed VIDE præcis HVAD der kører på min mobil - og jeg og andre programmører kan kigge koden igennem for åbenlyse problemer - så de vil skulle skjule onde hensigter betydeligt bedre, end de behøver når kildekoden IKKE er tilgængelig.
Open Source er på ingen måde en garanti for "perfekt og sikker kode" - men det faktum at jeg VED hvad jeg kører på min computer/tlf - og har mulighed for at samarbejde med andre, og lave de ændringer/forbedringer jeg har lyst til (f.ex. hoppe ind i app'ens kommunikation over internettet - og afbryde den - eller sende den forbi en software firewall før det bliver sendt etc.) - er ting jeg pludselig kan.. Eller bare forbedre app'en, hvis jeg savner en feature (og har kompetancerne).
I praksis med 20+ år med Open Source, har jeg bare konstateret at udbredte Open Source komponenter meget sjældent har problemer, som nogen i community'et af brugere - ikke allerede har løst, og som derfor kommer mig til gavn - da jeg kan bruge deres fork (hvis ikke de får ændringen ind i projektet hvilket de jo oftest gør).
Derfor er det også et KÆMPE problem at så mange lande, har valgt at lave deres EGEN version (selvom mange er Open Source) - da community'et til den enkelte så bliver mindre :(
- more_vert
- insert_linkKopier link
Det kan man selvfølgelig mene, men alt andet end lige vil åbning af kildekoden give mulighed for at uvildige eksperter og interesserede kunne grave sig ned i kildekoden og kigge den igennem, samt evt. bidrage med forbedringer.
Smukt opsummeret!
Det er også oplagt, at nogen af Netcompanys konkurrenter ville være interesserede i at kritisere deres direkte konkurrents løsninger.
De fleste IT-sikkerheds specialister vil kunne analysere den og forstå koden som afvikles, det behøver man ikke kilden til.
@Dennis Nilsson: Kildekoden giver bedre forhold for at undersøge software. Især, hvis det handler om en backend, som ikke afvikles på brugerens platform.. den skulle man jo i så fald angribe med pen-testing, men det kræver driftsansvarliges tilladdelse til at angribe deres produktionsmiljø og helt ærligt.. det lyder urealistisk.
- more_vert
- insert_linkKopier link
Tak til Jens Beltofte for tydelig forklaring. Under normale omstændigheder er Apple’s strategi meget forståelig ud fra indlysende økonomiske betragtninger. Men set i corona-sammenhæng, og det er jo åbenbart dér, vi skal se denne app, forkommer fastholdelsen af Apples standardstrategi mig bestemt ikke særligt rosværdig, set fra et ældre borgersegments platform.
- more_vert
- insert_linkKopier link
Jeg siger ikke, at det ikke er interessant, at have muligheden for, at læse den oprindelige kildekode men det er ikke kildekoden som er interessant men koden som afvikles. De fleste IT-sikkerheds specialister vil kunne analysere den og forstå koden som afvikles, det behøver man ikke kilden til.
- more_vert
- insert_linkKopier link
Det kan man selvfølgelig mene, men alt andet end lige vil åbning af kildekoden give mulighed for at uvildige eksperter og interesserede kunne grave sig ned i kildekoden og kigge den igennem, samt evt. bidrage med forbedringer.Open Source er ikke et argument for tryghed og sikkerhed. Medmindre du selv læser den igennem, forstår den og kompilere den i et sikkert miljø. (hvilket er umuligt på de fleste lukkede mobilplatforme og forbrugere)
Personligt ville jeg ikke bruge tid eller have kompetencer til at sætte mig ind i kildekoden, men jeg ville klart være mere tryg ved at installere app'en, hvis jeg vidste at kildekoden var åben så uvildige eksperter kunne kigge på det og rapportere evt. sikkerhedsmæssige problemer.
Det forudsætter selvfølgelig at ministeren, ministeriet, Digst og Netcompany tager den feedback der måtte komme til sig, og håndterer evt. henvendelser omkring sikkerhedshuller med respekt og får dem lukket.
- more_vert
- insert_linkKopier link
App'en benytter Exposure Notification API fra Apple og Google for at undgå at det er nødvendigt at bruge GPS lokation og lagre data centralt. Exposure Notification API er helt nyt og udviklet af Apple og Google her under COVID-19. Da Apple ikke releaser nye API'er eller ny funktionalitet til gamle major versioner af iOS, er det kun tilgængeligt fra iOS 13.5 og frem.men hvad med at også gøre appen tilgængelig for iPhones med iOS 11 og 12. Det var sådan set mit indtryk, at appen’s funktioner er lavet for at blive brugt til en bred forebyggelse af spredning af corona, for så mange som muligt, men det kan jeg jo godt se nu, at jeg indtil videre fuldstændigt har misforstået. Undskyld fra to 75-årige med i øvrigt velfungerende iPhone 5s hhv. 6.
Der er ikke så meget myndighederne kan gøre ved det, ud over at lagre data centralt, hvilket de fleste lande inkl. Danmark har fravalgt at sikkerhedsmæssige årsager.
- more_vert
- insert_linkKopier link
Open Source er ikke et argument for tryghed og sikkerhed. Medmindre du selv læser den igennem, forstår den og kompilere den i et sikkert miljø. (hvilket er umuligt på de fleste lukkede mobilplatforme og forbrugere)
Selvfølgelig fint med Open Source hvis man gerne vil kopiere koden eller bygge videre på den, men det er nok ikke det som er tænkt.
- more_vert
- insert_linkKopier link
men hvad med at også gøre appen tilgængelig for iPhones med iOS 11 og 12. Det var sådan set mit indtryk, at appen’s funktioner er lavet for at blive brugt til en bred forebyggelse af spredning af corona, for så mange som muligt, men det kan jeg jo godt se nu, at jeg indtil videre fuldstændigt har misforstået. Undskyld fra to 75-årige med i øvrigt velfungerende iPhone 5s hhv. 6.
- more_vert
- insert_linkKopier link
Backend i den specifikke kontekst må være den backend der håndterer information om smittestatus herunder muligheden for at man i app'en kan logge ind med NemID hvis han er smittet. En smittestatus hentes fra en national backend hvor smittede registreres efter en positiv prøve. Tilsvarende backends har de andre nationale apps også i f.eks. Tyskland, Italatien etc.Sig mig, har Google/Apple ikke skrevet 90% af backenden allerede plus lavet en referenceapp?
Goddag man økseskaft. Læs lidt op på fakta. Kravene til device / OS er 100% krav fra Apple og Google's side. De udvikler Exposure Notification API og har valgt kun at rulle det ud til bestemte versioner af deres respektive OS'er. Det kan de danske eller andre nationale myndigheder ikke gøre så meget ved, hvis de ønsker at bruge denne model modsat en model for alt data registeres centralt.om oven i købet ikke kan køre på en forholdsvis stor del smartphones
- more_vert
- insert_linkKopier link
Sig mig, har Google/Apple ikke skrevet 90% af backenden allerede plus lavet en referenceapp? Sådan har jeg forstået det. At DK så vælger at bruge 20 millioner på at kaste noget proprietært kode, som oven i købet ikke kan køre på en forholdsvis stor del smartphones, henover forekommer mig fuldkommen absurd, men det er desværre ikke overraskende.
- more_vert
- insert_linkKopier link
Det interessante er hvorfor man overhoved bruger skatteydernes penge på noget som jo er gratis?
Hvis Tyskland eller Italien allerede har publiceret en open source-løsning både app og back-end - så skal brugerinterfacet jo bare oversættes til dansk og måske et hurtigt reveiw på om sikkerheden er i orden.
Jeg kan ikke se at det lovligt at bruge skatteydernes penge på noget som grundlæggende er gratis.
- more_vert
- insert_linkKopier link
- Backenden er efter Sundheds- og Ældreministeriets egne ord så ringe, at der omgående ville blive fundet fejl, hvis den blev åbnet.
eller
- Sundheds- og Ældreministeriet tror at "Open Source" betyder, at man gør (adgangs)koderne offentlige [idet det vil gøre løsningen sårbar]
this is why we can't have nice things
- more_vert
- insert_linkKopier link
Hvorfor kan vi ikke indføre at hvis software skal udvikles af en vendor eller et konsulenthus for offentlige midler, så skal det fremgå af standardkontrakten at kildekoden hostet på gitlab.detoffentlige.dk tagget med versionsnummeret indgår som en af leverencerne?
Og hvis man ikke kan tåle det af "sikkerhedshensyn", så er man ikke klar til release. For det er man nemlig faktisk ikke...
- more_vert
- insert_linkKopier link
Så er det ikke sikkert. Punktum. Det eneste man kan sige er at sikkerheds hullernehullerne ikke er opdaget endnu.
- more_vert
- insert_linkKopier link
Denne sætning:
Adgang til koderne til appens back-end vil ikke blive gjort tilgængelige, idet det vil gøre løsningen sårbar.
Stråler af årsagen til hvorfor IT i det offentlige ikke bliver bedre lige foreløbigt.
- more_vert
- insert_linkKopier link
»Det skal bemærkes, at det kun vil være tale om kildekoden til selve appen og ikke kildekode til back-end'en, som der evt. vil blive givet adgang til. Adgang til koderne til appens back-end vil ikke blive gjort tilgængelige, <strong>idet det vil gøre løsningen sårbar</strong>.«
(Min fremhævning)
Så vidt jeg kan se, har den tyske "corona warn app" også lagt kildeteksten til back-end på github:
https://github.com/corona-warn-app/cwa-server
om det så er den kode, der faktisk kører, ved jeg selvfølgelig ikke.
Om sårbarheden derved øges og hvordan, synes jeg Ministeriet selv skal svare på.
- more_vert
- insert_linkKopier link