Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Sonntag, 18 April 2021 | Blog: 1 | No: 46820
CI-Pipelines in der Cloud sind gerade eine sehr populäre Angelegenheit. Das ist eine Automatisierung des Build-Prozesses. Der Entwickler schreibt Quellcode, und checkt den dann ins Versionierungssystem, aber den Rest automatisiert man weg.
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hälst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Sonntag, 18 April 2021 | Blog: 1 | No: 46820
Warum erzähle ich das?
Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hälst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
