Hallo,
Am 15.05.19 um 20:11 schrieb Dirk Haenelt: Aber wie
definiert man vertrauenswürdig rechtssicher?
Eine gute Frage.
Fangen wir beim Versuch einer Antwort einmal damit an, dass nur Menschen vertrauenwürdig (oder eben auch nicht) sein können.
Daraus folgt IMO für die Beurteilung eines Repos, dass ich ein dortiges Softwarepaket einem Menschen als Verantwortlichem Zuordnen kann. (Es können natürlich auch mehrere sein.) Sind also die Pakete beispielsweise alle signiert?
Gibt es ein institutionalisiertes Mehr-Augen-Prinzip? (Personelle Trennung von Entwickler und FTP-Master beispielsweise.)
Wird auf die Reproduzierbarkeit der Builds Wert gelegt?
Wie ist der Umgang mit Fehlern?
Wie "agil" oder "konservativ" wird das Repo gepflegt? Wird eine Distribution überhaupt gepflegt? Oder nur teilweise? Oder wird nur an der nächsten gearbeitet?
Es ist also bei der Beurteilung von Repos eine Gemengelage von institutionellen und technischen Vorkehrungen und persönlicher Vertrauenswürdigkeit zu beachten.
Als nächstes stellt sich dann die Frage: Wie "vertrauemswürdig" ist das Projekt oder Unternehmen, dessen Software für das Repo konkret packetiert wurde?
Wer sagt "Ich nehme Repo xy und bin damit auf der sicheren Seite!" hat die Komplexität des Themas (und seine Aufgabe als Verantwortlicher für die IT-Sicherheit) nicht verstanden.
Auch Zertifizierungen helfen da nur bedingt weiter. "Best practices" IMO schon eher.
Gruß Michael