April 14, 2021

23:33

Zur Einordnung der 10k Abhängigkeiten im Luca Backend (für nicht Techniker):

In jeder Programmiersprache ist es üblich, auf bereits Vorhandenem aufzubauen und Abhängigkeiten automatisch über einen Packetmanager reinzuziehen. Es ist auch üblich, dass Abhängigkeiten selber Abhängigkeiten haben. Aber: als Entwickler ist man normalerweise grundsätzlich bemüht, so wenig externen Code wie möglich einzubinden, weil man für den genauso wie für den eigenen, die Hand ins Feuer legen muss. Und damit haben wir dann zwei Probleme:

  1. Die 10k Abhängigkeiten stammen halt auch von 10k Entwicklern, die man nicht kennt und deren Arbeit man im blindem Vertrauen importiert.
  2. Wie war das nochmal gleich mit dem geklautem Code in der App? Sollen wir mal nachschauen, ob es da irgendwo eine transitive Abhängigkeit gibt, die Lizenzprobleme verursacht?

Man muss an der Stelle einfach mal verstehen, das Luca drauf und dran ist (war?), eine Pflichtapp in Deutschland zu werden, an der das öffentliche Leben hängen soll. So, und jetzt überlegt euch halt mal, dass die “russische Hacker” zwischen den Wahlen (die sie angeblich ständig manipulieren) vielleicht Langeweile haben könnten und sich sagen: ach komm, heute fahren wir mal Deutschland runter. Just for fun. Alles was sie dafür (theoretisch) tun müssen, ist eine der 10k Abhängigkeiten zu übernehmen. Macht euch an der Stelle nichts vor, die meisten von denen sind kleine Projekte, an denen kein Herzblut hängt. Wenn man dem Mainteiner nen Hunni bietet, ist der vermutlich froh, die Verantwortung abzugeben. Ab dem Punkt ist dann alles möglich, von der Störung des Betriebs, bis zur kompletten Übernahme des Luca Servers.