image

Overheid maakt broncode van DigiD-app openbaar - update

maandag 16 januari 2023, 15:12 door Redactie, 26 reacties
Laatst bijgewerkt: 16-01-2023, 15:58

Overheidsinstantie Logius heeft de broncode van de DigiD-app openbaar gemaakt, zodat het mogelijk is om de code van de app te bekijken. Vorig jaar meldde Security.NL al dat de overheid het openbaar maken van de broncode onderzocht. Destijds liet staatssecretaris Van Huffelen van Digitalisering weten dat de openbaarmaking van de broncode het risico met zich meebrengt dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen.

"De publicatie is in lijn met het kabinetsbeleid om een transparante overheid te bevorderen. Het gebruik van DigiD blijft voor iedereen veilig en betrouwbaar", zo laat Logius, de overheidsinstantie die voor DigiD verantwoordelijk is, vandaag weten. Na een verzoek op de Wet Open Overheid (Woo) is Logius gestart met onderzoek naar de openbaarmaking van de broncode van DigiD.

Als eerste is nu besloten om een snapshot van de broncode van de DigiD-app openbaar te maken. In een volgende fase wordt onderzocht of ook de DigiD-software die bij Logius draait kan worden vrijgegeven. Hergebruik van de broncode is toegestaan onder de EUPL-licentie, met uitzondering van broncode waarvoor een andere licentie is aangegeven. Wie kwetsbaarheden in de broncode vindt kan die rapporteren bij het Nationaal Cyber Security Centrum (NCSC).

"Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt", zo laat Digitale Overheid weten. Daarvoor zijn volgens Logius drie redenen. De software moet hiervoor geschikt gemaakt worden. Daarnaast moet ook de organisatie klaar zijn om deze andere manier van werken te ondersteunen. En kost het tijd om dit zorgvuldig te kunnen doen.

Beveiligingsrisico

In een Kamerbrief over de openbaarmaking van de broncode laat staatssecretaris Van Huffelen weten dat enkele fragmenten in de broncode een beveiligingsrisico voor de continuïteit van DigiD kunnen opleveren. Het gaat dan bijvoorbeeld om informatie over de infrastructuur waar DigiD op draait. Deze fragmenten zijn in de gepubliceerde broncode vervangen door de letter ‘S’ (‘security’). Daarnaast zijn fragmenten waaruit persoonsgegevens van ontwikkelaars te herleiden zijn vervangen door de letter ‘P’ (‘privacy’).

Reacties (26)
16-01-2023, 15:22 door Anoniem
Waar zijn de zwartgelakte pagina's.
16-01-2023, 15:33 door Anoniem
welkom decentrale identificatie................
16-01-2023, 15:42 door Anoniem
De hamvraag blijft welke data er nu precies met Google gedeeld wordt en wat zij daar precies mee doen. Logius weet het zelf helaas niet.
16-01-2023, 15:57 door Anoniem
Vertaling 'foto' en 'film' :
Uit de URL :

De broncode van de app is nu nog gepubliceerd als een momentopname; een ‘foto’ van de broncode op een bepaald moment in de tijd.

Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt. Dat kan nu nog niet, meldt Logius desgevraagd.

Waarschijnlijk nu dus een snapshot van een bepaalde versie (tarball) , en later een git of ander version control archief ?

Of standaard snapshots van een release-versie .

Ik verwacht er weinig spannends van , maar het moet gezegd worden : het _is_ een nette actie .
Ik vrees dat het best wat dev tijd kost met naar verhouding erg weinig technisch rendement .

(Nee - niet om "de backdoors te verstoppen" , maar ik denk dat ze allerlei comments op 'incorrect taalgebruik' moeten schonen , want anders heb je weer van die zeikjournalisten die daarop mieren .)
16-01-2023, 15:58 door Anoniem
Ik hoop dat, als straks de meest recente broncode vrij wordt gegeven, het mogelijk wordt om een DigID applicatie voor andere operating systemen te ontwikkelen, zoals bijvoorbeeld SailfishOS.
16-01-2023, 16:28 door Anoniem
Door Anoniem: Ik hoop dat, als straks de meest recente broncode vrij wordt gegeven, het mogelijk wordt om een DigID applicatie voor andere operating systemen te ontwikkelen, zoals bijvoorbeeld SailfishOS.

Ja zoiets hoop ik ook. Zodat je gewoon een .apk kan downloaden vanuit bijvoorbeeld f-droid store
16-01-2023, 16:42 door spatieman
dit kan nooit goed gaan...
16-01-2023, 16:57 door Anoniem
Heeft al iemand gekeken of je kan zien welke data er door de Google en Microsoft trackers wordt verzameld? https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
16-01-2023, 17:05 door Anoniem
"https://github.com/MinBZK/woo-besluit-broncode-digid-app/blob/master/azure-pipelines.yml" dus de NL authenticatie app wordt ontwikkeld in een USA cloud omgeving, dan wordt het eindelijk opensource, wordt er weer voor datzelfde USA cloud bedrijf gekozen voor het publiceren van de broncode..... Gaat goed met de soevereiniteit van ons land :(
16-01-2023, 17:08 door Anoniem
Door Anoniem: Vertaling 'foto' en 'film' :
Uit de URL :

De broncode van de app is nu nog gepubliceerd als een momentopname; een ‘foto’ van de broncode op een bepaald moment in de tijd.

Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt. Dat kan nu nog niet, meldt Logius desgevraagd.

Waarschijnlijk nu dus een snapshot van een bepaalde versie (tarball) , en later een git of ander version control archief ?

Of standaard snapshots van een release-versie .

Ik verwacht er weinig spannends van , maar het moet gezegd worden : het _is_ een nette actie .
Ik vrees dat het best wat dev tijd kost met naar verhouding erg weinig technisch rendement .

(Nee - niet om "de backdoors te verstoppen" , maar ik denk dat ze allerlei comments op 'incorrect taalgebruik' moeten schonen , want anders heb je weer van die zeikjournalisten die daarop mieren .)

self update :
Ah - tikje verder lezen : ook de identiteiten van de devs, en dingen waaruit informatie over de backend servers te herleiden is.

Op zich wel logisch .
Afhankelijk van hoeveel de API geschoond wordt is de app dan mogelijk niet functioneel compileerbeer.
16-01-2023, 18:31 door Anoniem
Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?
16-01-2023, 22:31 door Anoniem
Wat kan die broncode nou boeie?
Je kan er niks mee.
Je kan alleen zien hoe het programma werkt. Hehe
16-01-2023, 23:55 door Anoniem
Nou kunnen we dan die trackers er uitslopen in een fork?
Zodra de server online is gaan we WebAuthn maar eens toevoegen.
17-01-2023, 08:50 door _R0N_
Door Anoniem: Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?

Je kunt als gebruiker ook niet weten of je Ubuntu packages van dezelfde sources zijn gecompileerd als die je kunt downloaden.

Het is natuurlijk makkelijk altijd wat te vinden om over te zeiken.
17-01-2023, 09:45 door majortom - Bijgewerkt: 17-01-2023, 09:51
Door Anoniem:
Door Anoniem: Vertaling 'foto' en 'film' :
Uit de URL :

De broncode van de app is nu nog gepubliceerd als een momentopname; een ‘foto’ van de broncode op een bepaald moment in de tijd.

Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt. Dat kan nu nog niet, meldt Logius desgevraagd.

Waarschijnlijk nu dus een snapshot van een bepaalde versie (tarball) , en later een git of ander version control archief ?

Of standaard snapshots van een release-versie .

Ik verwacht er weinig spannends van , maar het moet gezegd worden : het _is_ een nette actie .
Ik vrees dat het best wat dev tijd kost met naar verhouding erg weinig technisch rendement .

(Nee - niet om "de backdoors te verstoppen" , maar ik denk dat ze allerlei comments op 'incorrect taalgebruik' moeten schonen , want anders heb je weer van die zeikjournalisten die daarop mieren .)

self update :
Ah - tikje verder lezen : ook de identiteiten van de devs, en dingen waaruit informatie over de backend servers te herleiden is.

Op zich wel logisch .
Afhankelijk van hoeveel de API geschoond wordt is de app dan mogelijk niet functioneel compileerbeer.
Wat is dat nou weer voor een onzinactie om "vertrouwelijke zaken" weg te lakken. Als er echt zaken in die code zitten die niet openbaar mogen worden dan is het design fout. Ik mag toch aannemen dat er geen passwords, (private) keys of iets dergelijks in de code zitten: dat zou een major security issue betekenen. Met een tool als JADX haal je die info gewoon uit de APK zoals die voor Android te downloaden is, dus weglakken maakt het alleen heel iets lastiger om dit te achterhalen.
17-01-2023, 10:28 door Anoniem
Door _R0N_:
Door Anoniem: Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?

Je kunt als gebruiker ook niet weten of je Ubuntu packages van dezelfde sources zijn gecompileerd als die je kunt downloaden.

Het is natuurlijk makkelijk altijd wat te vinden om over te zeiken.
Dat kan je wel maar wat heeft in gods naam Ubuntu met dit topic te maken?
B.t.w. onze lieve heer kan je ook niet controleren.
17-01-2023, 10:34 door Anoniem
Door Anoniem: Wat kan die broncode nou boeie?
Je kan er niks mee.
Je kan alleen zien hoe het programma werkt. Hehe

Het voordeel van open bron code is dat er veel meer controle is op wat de applicatie kan en doet.
Daarnaast worden eventuele lekken/bugs eerder opgespoord en gemeld, hierdoor wordt de software veiliger.
Dus jij kunt er misschien niets mee, maar gelukkig veel developers wel.
17-01-2023, 11:23 door Anoniem
Door majortom:
Door Anoniem:
Door Anoniem: Vertaling 'foto' en 'film' :
Uit de URL :

De broncode van de app is nu nog gepubliceerd als een momentopname; een ‘foto’ van de broncode op een bepaald moment in de tijd.

Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt. Dat kan nu nog niet, meldt Logius desgevraagd.

Waarschijnlijk nu dus een snapshot van een bepaalde versie (tarball) , en later een git of ander version control archief ?

Of standaard snapshots van een release-versie .

Ik verwacht er weinig spannends van , maar het moet gezegd worden : het _is_ een nette actie .
Ik vrees dat het best wat dev tijd kost met naar verhouding erg weinig technisch rendement .

(Nee - niet om "de backdoors te verstoppen" , maar ik denk dat ze allerlei comments op 'incorrect taalgebruik' moeten schonen , want anders heb je weer van die zeikjournalisten die daarop mieren .)

self update :
Ah - tikje verder lezen : ook de identiteiten van de devs, en dingen waaruit informatie over de backend servers te herleiden is.

Op zich wel logisch .
Afhankelijk van hoeveel de API geschoond wordt is de app dan mogelijk niet functioneel compileerbeer.
Wat is dat nou weer voor een onzinactie om "vertrouwelijke zaken" weg te lakken. Als er echt zaken in die code zitten die niet openbaar mogen worden dan is het design fout. Ik mag toch aannemen dat er geen passwords, (private) keys of iets dergelijks in de code zitten: dat zou een major security issue betekenen. Met een tool als JADX haal je die info gewoon uit de APK zoals die voor Android te downloaden is, dus weglakken maakt het alleen heel iets lastiger om dit te achterhalen.

Niet al te basaal denken, majoor .

Het is -als pentester - best erg nuttig om dingen te leren over de opzet en structuur van de backend die niet alleen maar de credentials zijn .
Nog meer als DDoSer, trouwens .
17-01-2023, 11:30 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?

Je kunt als gebruiker ook niet weten of je Ubuntu packages van dezelfde sources zijn gecompileerd als die je kunt downloaden.

Het is natuurlijk makkelijk altijd wat te vinden om over te zeiken.
Dat kan je wel maar wat heeft in gods naam Ubuntu met dit topic te maken?

Gewoon, dat hetzelfde probleem - valideer dat de source bij de binary hoort - ook bij heilige open source speelt .

Maar ik hoor graag van jou *hoe* je precies controleert dat de Ubuntu bin's van exact de sources gecompileerd zijn die in de source packages zitten .

Als je denk "gewoon dat source package builden" - moet je doen . Echt . En dan gaan leren waarom het resultaat niet op dezelfde hash uitkomt.


B.t.w. onze lieve heer kan je ook niet controleren.

In God we trust. All others pay cash^H^H^H show source.
17-01-2023, 12:00 door majortom - Bijgewerkt: 17-01-2023, 12:01
Door Anoniem:
Door majortom:
Door Anoniem:
Door Anoniem: Vertaling 'foto' en 'film' :
Uit de URL :

De broncode van de app is nu nog gepubliceerd als een momentopname; een ‘foto’ van de broncode op een bepaald moment in de tijd.

Je vindt de broncode nu nog als ‘foto’, maar Logius wil de broncode op termijn als ‘film’ kunnen publiceren. Dan worden ook nieuwe versies steeds openbaar gemaakt. Dat kan nu nog niet, meldt Logius desgevraagd.

Waarschijnlijk nu dus een snapshot van een bepaalde versie (tarball) , en later een git of ander version control archief ?

Of standaard snapshots van een release-versie .

Ik verwacht er weinig spannends van , maar het moet gezegd worden : het _is_ een nette actie .
Ik vrees dat het best wat dev tijd kost met naar verhouding erg weinig technisch rendement .

(Nee - niet om "de backdoors te verstoppen" , maar ik denk dat ze allerlei comments op 'incorrect taalgebruik' moeten schonen , want anders heb je weer van die zeikjournalisten die daarop mieren .)

self update :
Ah - tikje verder lezen : ook de identiteiten van de devs, en dingen waaruit informatie over de backend servers te herleiden is.

Op zich wel logisch .
Afhankelijk van hoeveel de API geschoond wordt is de app dan mogelijk niet functioneel compileerbeer.
Wat is dat nou weer voor een onzinactie om "vertrouwelijke zaken" weg te lakken. Als er echt zaken in die code zitten die niet openbaar mogen worden dan is het design fout. Ik mag toch aannemen dat er geen passwords, (private) keys of iets dergelijks in de code zitten: dat zou een major security issue betekenen. Met een tool als JADX haal je die info gewoon uit de APK zoals die voor Android te downloaden is, dus weglakken maakt het alleen heel iets lastiger om dit te achterhalen.

Niet al te basaal denken, majoor .

Het is -als pentester - best erg nuttig om dingen te leren over de opzet en structuur van de backend die niet alleen maar de credentials zijn .
Nog meer als DDoSer, trouwens .
Mijn stelling was dat het weglakken geen zin heeft omdat diezelfde pentester gewoon alle info uit de reguliere APK kan halen. De credentials waren alleen bedoeld als voorbeeld.
17-01-2023, 12:47 door Anoniem
Ik zag ook lekker veel tests in de applicatie zitten... not.
17-01-2023, 13:03 door Anoniem
Door majortom:
Mijn stelling was dat het weglakken geen zin heeft omdat diezelfde pentester gewoon alle info uit de reguliere APK kan halen. De credentials waren alleen bedoeld als voorbeeld.

Uiteindelijk wel - zo blijkt uit het vinden van allerlei zero days in closed source.
Maar becommentarieerde source scheelt toch een bak werk.

Ze zullen bij Logius ongetwijfeld een heleboel meetings gehad hebben over deze hete aardappel .

(iemand die graag laat zien waar z'n kostbaarheden liggen, wat z'n adres is, wanneer hij op vakantie is maar *alleen* de huissleutel erg goed bewaard ? )
17-01-2023, 14:59 door Joep Lunaar
Door _R0N_:
Door Anoniem: Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?

Je kunt als gebruiker ook niet weten of je Ubuntu packages van dezelfde sources zijn gecompileerd als die je kunt downloaden.

Het is natuurlijk makkelijk altijd wat te vinden om over te zeiken.
A) Publicatie van broncodes is een principiële kwestie, dus kritische opmerkingen zijn in de regel geen gezeik.

B) Distributies als Ubuntu volgen grotendeels Debian. Deze laatste heeft een soort sociaal contract dat zeer stringente eisen stelt aan de toelating van patches in de "main" repository onder volledige openbaarheid. Verder voldoet Debian momenteel aan de vereisten voor reproducible builds van vrijwel alle pakketten in de main repository waardoor wel vaststelbaar is dat een binary daaruit op de code en niets anders dan die code is gebaseerd (even los van de discussie of compilers wel deugen, zie http://cm.bell-labs.com/who/ken/trust.html).

Zie ook https://reproducible-builds.org/who/projects/ en https://wiki.debian.org/ReproducibleBuilds
De distributie door Ubuntu kent ook de nodige waarborgen
17-01-2023, 20:11 door Anoniem
Door Joep Lunaar:
Door _R0N_:
Door Anoniem: Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?

Je kunt als gebruiker ook niet weten of je Ubuntu packages van dezelfde sources zijn gecompileerd als die je kunt downloaden.

Het is natuurlijk makkelijk altijd wat te vinden om over te zeiken.
A) Publicatie van broncodes is een principiële kwestie, dus kritische opmerkingen zijn in de regel geen gezeik.

B) Distributies als Ubuntu volgen grotendeels Debian. Deze laatste heeft een soort sociaal contract dat zeer stringente eisen stelt aan de toelating van patches in de "main" repository onder volledige openbaarheid. Verder voldoet Debian momenteel aan de vereisten voor reproducible builds van vrijwel alle pakketten in de main repository waardoor wel vaststelbaar is dat een binary daaruit op de code en niets anders dan die code is gebaseerd (even los van de discussie of compilers wel deugen, zie http://cm.bell-labs.com/who/ken/trust.html).

Het vergt een zeker werk _om_ builds reproducible te maken , en (zelfs) Debian , is, zoals je schrijft , niet met alles klaar.
(Niet hoopgevend dat de wiki https://wiki.debian.org/ReproducibleBuilds als status van 2018 geeft dat 1250 unreproducible packages nog in buster zitten . De oranje en rood delen van de graph zijn ook weer niet heel klein .)

Het is leerzaam om te lezen van welke factoren het uiteindelijke resultaat allemaal afhankelijk is .

Ubuntu staat niet op de lijst van projecten die reproducible zijn . Dat het "in principe" veelal debian gebaseerd is, is mooi - maar de vraag is hoeveel van de ubuntu-eigen saus de reproducibility om zeep geholpen heeft.


Zie ook https://reproducible-builds.org/who/projects/ en https://wiki.debian.org/ReproducibleBuilds
De distributie door Ubuntu kent ook de nodige waarborgen

Ik denk dat poster 17 jan 10:28 die botweg stelde dat je Ubuntu source-dist kunt controleren geen flauw benul had van hoeveel werk het is om een reproducible build te maken , en zeker niet dat Ubuntu daarin niet echt voorop loopt .

Welke waarborgen doel je op qua 'distributie door Ubuntu' ?
Waarborgen dat je ongewijzigde distro's of updates download klopt wel .

Maar bij de vraag of de binary van iets nou wel bij de gepubliceerde source hoort - waarin je dus de oprechtheid (of competentie) van je leverancier in twijfel ben ik benieuwd welke waarborgen je daar krijgt van Ubuntu .
Het werk van reproducible builds is IMO erg belangrijk om een stuk van het vertrouwen dat je typisch hebt in "open source" ook echt te onderbouwen . En ze zijn er nog lang niet.
18-01-2023, 13:41 door Anoniem
Door Anoniem:
Door Joep Lunaar:
Door _R0N_:
Door Anoniem: Wat is het nut hier precies van?
Je kunt als gebruiker toch nooit controleren of de app die je uit de store download gecompileerd is van de sourcecode
die ze beschikbaar stellen...
En dan nog, wat er in de lokale app gebeurt is als het goed is niet spannend. Geven ze ook de sourcecode van de backend?

Je kunt als gebruiker ook niet weten of je Ubuntu packages van dezelfde sources zijn gecompileerd als die je kunt downloaden.

Het is natuurlijk makkelijk altijd wat te vinden om over te zeiken.
A) Publicatie van broncodes is een principiële kwestie, dus kritische opmerkingen zijn in de regel geen gezeik.

B) Distributies als Ubuntu volgen grotendeels Debian. Deze laatste heeft een soort sociaal contract dat zeer stringente eisen stelt aan de toelating van patches in de "main" repository onder volledige openbaarheid. Verder voldoet Debian momenteel aan de vereisten voor reproducible builds van vrijwel alle pakketten in de main repository waardoor wel vaststelbaar is dat een binary daaruit op de code en niets anders dan die code is gebaseerd (even los van de discussie of compilers wel deugen, zie http://cm.bell-labs.com/who/ken/trust.html).

Het vergt een zeker werk _om_ builds reproducible te maken , en (zelfs) Debian , is, zoals je schrijft , niet met alles klaar.
(Niet hoopgevend dat de wiki https://wiki.debian.org/ReproducibleBuilds als status van 2018 geeft dat 1250 unreproducible packages nog in buster zitten . De oranje en rood delen van de graph zijn ook weer niet heel klein .)

Het is leerzaam om te lezen van welke factoren het uiteindelijke resultaat allemaal afhankelijk is .

Ubuntu staat niet op de lijst van projecten die reproducible zijn . Dat het "in principe" veelal debian gebaseerd is, is mooi - maar de vraag is hoeveel van de ubuntu-eigen saus de reproducibility om zeep geholpen heeft.


Zie ook https://reproducible-builds.org/who/projects/ en https://wiki.debian.org/ReproducibleBuilds
De distributie door Ubuntu kent ook de nodige waarborgen

Ik denk dat poster 17 jan 10:28 die botweg stelde dat je Ubuntu source-dist kunt controleren geen flauw benul had van hoeveel werk het is om een reproducible build te maken , en zeker niet dat Ubuntu daarin niet echt voorop loopt .

Welke waarborgen doel je op qua 'distributie door Ubuntu' ?
Waarborgen dat je ongewijzigde distro's of updates download klopt wel .

Maar bij de vraag of de binary van iets nou wel bij de gepubliceerde source hoort - waarin je dus de oprechtheid (of competentie) van je leverancier in twijfel ben ik benieuwd welke waarborgen je daar krijgt van Ubuntu .
Het werk van reproducible builds is IMO erg belangrijk om een stuk van het vertrouwen dat je typisch hebt in "open source" ook echt te onderbouwen . En ze zijn er nog lang niet.
Ik heb veel meer vertrouwen in de Ubuntu/Debian maintainers dan Microsoft. Dat de gesigneerde binaries gebouwd zijn vanaf de gepubliceerde sources heb ik het volste vertrouwen in, gezien de openheid waarmee dit gebeurd. Het thema is trouwens dat een snapshot van de broncode van de DigiD-app openbaar wordt gemaakt. Dat is een mooi begin. Ubuntu/Debian is alleen maar een mooi voorbeeld hoe het kan. Dat het uiteraard misschien nog beter kan is in deze context gezeik.
07-04-2023, 13:50 door Anoniem
Als je op Android draait - dan heb je google play store nodig voor het barcode scannen. Adios Lineage, GrapheneOS, E/OS ... zoveel voor "Privacy" ... treurig te zien dat wij als een van het innovatiefste landen ter wereld niet eens een simpele barcode scanner zonder Google in een software kunnen plakken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.