Leider auch das nicht, Chris, in meinem Studiengang musste ich lediglich einen kleinen Schein in VWL erledigen (klingt ja ähnlich), da ging ich lediglich zur Prüfung, multiple choice wie beim PPL, machte meine Kreuzlein und bekam meine 5 Punkte (und musste nicht in die mündliche prüfung wie beim PPL :-), ohne dafür auch nur eine Minute mit lernen verschwendet zu haben......

Komm' weil gerade Kaffeepause ist:

Ich weiß nicht, wie gut Du die Software-Entwicklung im (wirklich) großen Stil kennst, aber 90 Tage halte ich für knapp. 6 Monate allerdings auch wieder für zu lang...

90 Tage sind inoffizieller Standard und wird z.B. von Google Project Zero gelebt. Wenn ein Hersteller nicht binnen dieser Zeit patcht, wird veröffentlicht. Nur so bringt man die schwarzen Schafe zum Laufen.

Die Industrie muss hier Verfahren haben, mit solchen bekannt gewordenen Lücken zügig und sachgerecht umzugehen.

Die Industrie? Was soll das sein? Diese Frage könnten wir gerne weiterspinnen. Ich bitte Dich aber zuvor diese preisgekrönte, kanadische Dokumentation gesehen zu haben: The Corporation.

Aber bevor mir jemand mit "agile Methoden" oder "DevOps" kommt. Die betroffenen Microcodes und Betriebssysteme und vor allem deren Entwicklungsprozesse/-verfahren mit den beteiligten Stellen in den Unternehmen sind über (teilweise) Jahrzehnte "gereift" und lassen sich - meiner bescheidenen Erfahrung nach - zwar auf "agil" und "DevOps" umstellen, aber nur unter erheblichem Aufwand und nicht einfach so per Ansage der Chefs.

Von Agil, Scrum und wie die ganzen Yuppi Techno-Buzzwords heissen halte ich genauso wenig. Am Ende ist es nichts anderes, als alle im permanenten Notfall arbeiten zu lassen. Hier erfährst Du mehr davon. Sorry, arbeiten an langfristigen und nachhaltigen Projekten geht anders. Aber ich bin da der schlechteste Ansprechpartner, da ich mir den Luxus leiste, nur die Dinge anzunehmen, die mir auch gefallen und ich persönlich als sinnvoll erachte.

Spannende Forderung. Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? Und welchen Anreiz hätte dann ein Unternehmen, sich überhaupt noch mit sicherheitsrelevanter Software zu befassen? Alles unter staatlicher Kontrolle? Dann wird's besser?

In den seltensten Fällen "entwickeln" Unternehmen Ihre "eigene Lösungen". Klopf mal einmal hinter die schicken Oberflächen und draufgepappten Logos. Und wen ich dabei erwische, gerade in sicherheitskritischen Bereichen mit mathematisch und wissenschaftlich bewährte Algoritmen und Verfahren rumzumurksen, der wird eigenhändig, standrechtlich virtuell erschossen. Nimm das jüngste Beispiel mit der PC-Wahl Software - was muss ich dazu noch sagen... nochmals, wenn ein Verfahren sicher ist, dann kann es auch veröffentlicht werden. Das ist anerkannter Security-Konsens. Aber solange man auf nach oben weisende GPS Antennen als Sicherheits-Feature vertraut, what possibly could go wrong?

Zum Glück bin ich mit meiner Infrastruktur anscheinend so uninteressant, dass bisher keiner meiner Rechner von irgendeinem Virus oder anderer Malware befallen wurde.

Du magst für die Welt ja uninterresant sein, Dein Router ist es aber sicher nicht. Denn als Bot-Mitglied hilft er im Hintergrund mit, andere Websites per DDOS auszuknipsen, Spams oder Kinderpornos herumzureichen. Oder vielleicht koordiniert es als C&C auch die nächste Malware Attacke oder - wie in diesem Thread als Szenario beschrieben - programmiert ein Hacker über diesen gerade die FMCs von Airlinern um, who knows?

Ein Mindesthaltbarkeitsdatum von Software hilft einem Einkäufer, egal ob daheim oder in Unternehmen herauszufinden, ob er den letzten Chinakram kauft oder ein Unternehmen, das jahrelangen Service & Support garantieren kann. Essentiell gerade dort, wo lange Produkt-Entwicklungszyklen existieren.

Wer soll fördern? Wer entscheidet, was gefördert wird bzw. wann eine Förderung eingestellt wird?

Na dann schau doch mal bei der Apache oder Document Foundation vorbei. Es gibt da zig Stiftungen und Initiativen.

So lange die nicht in die Software im Cockpit eingreifen, ist doch alles gut...

Was die Flotten längst machen, können offensichtlich andere mit minimalem Aufwand ebenfalls... es ist nicht die Frage des "ob" sondern des "wann". Und was Digitalisierung anbetrifft. Wenn Du Dir andere Branchen anschaust bedeutet "Digitalisierung" immer Erhöhung der Wertschöpfung, Kapital aus den Daten schlagen, immer mehr Druck auf die eigenen Mitarbeiter ausüben. Demnächst gibt es dann wohl auch bei uns Szenen, wie Passagiere aus überbuchten Fliegern rausgezerrt werden? Natürlich bedauert dann am Ende jeder die Situation und niemand übernimmt die Verantwortung. Der Algoritmus war's.

Nenne mir bitte ein Unternehmen, welches Digitalisierung und die damit verbundene Prozesse zur Verbesserung der Arbeitssituation der eigenen Mitarbeiter vorantreibt? Oder Kunden wirkliche Vorteile bieten möchten und nicht hinten herum mit Datenverkauf und data-driven Geschäftsfeldern übervorteilen will?

(die Kaffeepause ist um längen überzogen...)

90 Tage sind inoffizieller Standard und wird z.B. von Google Project Zero gelebt. Wenn ein Hersteller nicht binnen dieser Zeit patcht, wird veröffentlicht. Nur so bringt man die schwarzen Schafe zum Laufen.

Erstens inoffiziell, und zweitens darfst Du Google, die schon seit ihrer Gründung anders als "klassische" Unternehmen arbeiten, nicht mit Intel, Microsoft oder auch Apple vergleichen, was das angeht.

Die Industrie? Was soll das sein? Diese Frage könnten wir gerne weiterspinnen. Ich bitte Dich aber zuvor diese preisgekrönte, kanadische Dokumentation gesehen zu haben: The Corporation.

Ganz einfach (ohne Blick auf die Doku): Jeder Hersteller, der Produkte gegen Geld anbietet. Oder weißt Du selbst nicht mehr, auf wen Du da schimpfst?

Von agil, Scrum und wie die ganzen Yuppi Techno-Buzzwords heissen halte ich genauso wenig.

Das habe ich nicht geschrieben. Ich schrieb lediglich, dass die Umstellung darauf nicht trivial ist. Ich habe selbst durchaus die Meinung, dass diese Methoden funktionieren, nur stülpt man das einem "klassischen" Unternehmen eben nicht einfach mal so über.

Am Ende ist es nichts anderes, als alle im permanenten Notfall arbeiten zu lassen.

Das ist falsch. Viele begehen bei der Umstellung diesen Fehler, aber das ist nicht der Gedanke bei agilen Prozessen und/oder DevOps.

Hier erfährst Du mehr davon.

Nein, da erfahre ich nur von jemandem, der scheinbar unter eineim gescheiterten agilen "Versuch" gelitten hat.

Sorry, arbeiten an langfristigen und nachhaltigen Projekten geht anders.

Stimmt, es geht auch anders. Aber es geht auch agil - wenn man es richtig macht.

In den seltensten Fällen "entwickeln" Unternehmen Ihre "eigene Lösungen".

Es gibt die, die "abschreiben". Es gibt natürlich auch diejenigen, die selbst etwas (meist schlechteres) entwickeln, ohne links und rechts nach besseren verfügbaren Methoden/Lösungen für ihr Problem zu schauen.
Aber es gibt auch die, von denen abgeschrieben wird.

Du magst für die Welt ja uninerresant sein, Dein Router ist es aber sicher nicht. Denn als Bot-Mitglied hilft er im Hintergrund wunderbar mit Websites von anderen per DDOS auszuknipsen oder Spams oder Kinderpornos herumzureichen. Vielleicht koordiniert es als C&C auch die die nächste Malware Attacke, who knows?

Gut, nur weil man paranoid ist, heißt das ja nicht, das "sie" nicht hinter einem her sind. Aber wenn ich mir in diesem Bereich keine eigene Kompetenz zutraue, dann darf ich entweder nicht online gehen, oder muss einem Hersteller/Lieferanten eines Routers und seinen - mehr oder weniger regelmäßigen - Patches vertrauen.

Ein Mindesthaltbarkeitsdatum von Software hilft einem Einkäufer, egal ob daheim oder in Unternehmen herauszufinden, ob er den letzten Chinakram kauft oder ein Unternehmen, das jahrelangen Service & Support garantieren kann. Essentiell gerade dort, wo lange Produkt-Entwicklungszyklen existieren.

Zumindest in größeren Unternehmen wird Software auch mit Blick auf den Support des Herstellers ausgesucht/gekauft. Ob der Hersteller dabei verläßliche Angaben macht und diese nach dem Kauf auch noch entsprechend einhält, garantiert aber auch kein vorher aufgedrucktes "Mindesthaltbarkeitsdatum".
Oder muss ich "Office 2016" jetzt wegschmeißen, weil 2016 draufsteht? Was mache ich denn, wenn es noch kein "Office 2018" gibt?

Was die Flotten doch schon längst machen...

Die ändern aber nicht die Software in den FMS und der Avionik, oder?

Olaf

"...bei Dir sind alle anderen immer unfaehig, Fuzzies, unwillig, uninteressiert, waehrend Du offenbar den Eindruck hast, die Weisheit fuer Dich gepachtet zu haben."

...TJ nannte sein eigenes Posting einen "Rant". Ich würde das dann nicht alles auf die Goldwaage legen.

"Wie kommt man zu so einem Selbst- und Weltbild?"

Ist verbreitet unter Piloten.

"Dunning-Kruger-Effekt?"

Mein Eindruck ist, dass TJ in (computer-)technischen Fragen durchaus Ahnung hat. Oder wie man das heute gern nennt, "Cyber" :-)

"Und zur Sache: Es ist ein grosser Vorteil der Digitalisierung, dass sie sich auf Grund ihrer Geschwindigkeit einer Regulierung weitgehend entzieht."

Leseempfehlung: die Keynote von Charlie Strauss zum 34C3 (https://www.antipope.org/charlie/blog-static/2018/01/dude-you-broke-the-future.html). Es ist kein Vorteil, sondern ein Design Flaw der Regulierung. Mit sehr negativen Folgen.

"...es bringt vor allem aber auch Innovationen hervor, die offenbar von den Menschen begruesst und angenommen werden."

Apple-User?

Ja ein hervorragender Beitrag, den ich kürzlich auch ins Deutsche übersetzt hab':

https://cloud.jakobssystems.de/s/3TngTPMN7AuVE6f (direkt zum Lesen im Webbrowser)

https://cloud.jakobssystems.de/s/3TngTPMN7AuVE6f/download (als PDF Download)

@Olaf:

Mit Scrum auf Softareentwickler (oder andere kreative Berufe) zu zielen ist in etwa so, wie Künstler dazu zu verdonnern, genau zwischen 9 und 12 Uhr und dann wieder von 13 bis 17 Uhr kreativ zu sein. Und wehe die geniale Idee kommt um 12:30 Uhr oder nach 17 Uhr.

Es erzeugt Mittelmaß, eine Kultur der Geringschätzung, Selbstbeweihräucherung oder im worst-case Angst. In kleinen, schlagkräftigen Teams mit gleichberechtigten 1st Class Playern funktioniert es, ja. Auch in temporär klar abgenzbaren Projekten oder Situationen. Sobald aber der erste 2nd, oder 3rd Class hinzukommt (meist ein Vorgesetzter oder Manager) wid das unsichtbare Band zwischen den Team-Mitgliedern durchtrennt. Zumindst ist das meine Meinung, die auf einschlägigen Erfahrungen basiert. Aber wie gesagt, ich bin da auch der schlechteste Ansprechpartner.

Und zum Stichwort "Industrie" - wenn schon Chris den Link zum CCC vorgegeben hat: Hier kannst Du Dir den Schrott der Deutschen Autoindustrie anschauen in der Zukunftstechnologie eAuto. Selbstverständlich alles ISO und DIN genormt - aber der Standard ist halt Murks. Ein Staubsaugerroboter aus Fernost hat mehr Sicherheit:

https://media.ccc.de/v/34c3-9092-ladeinfrastruktur_fur_elektroautos_ausbau_statt_sicherheit

Ganz ehrlich, in der Luftfahrt-Industrie erwarte ich nichts besseres...

Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? ... Und wer kriegt das Geld dann eigentlich, wenn es sich um Open Source handelt?

Ich glaube, hier unterliegst Du einer verbreiteten Fehlinterpretation, was den Begriff "open source" anbetrifft:

1. "open source" heißt nicht "kostenlos"
2. "open source" heißt nicht "entwickelt von zahlreichen namenlosen Amateuren"

"Open source" bedeutet, daß der Quellcode der verkauften Software vom Anbieter offengelegt wird. Nicht mehr und nicht weniger. Die Nutzung der Software darf trotzdem Geld kosten. In sicherheitskritischen Bereichen ist "open source" ein Qualitätssiegel, weil Schwachstellen einfach schneller erkannt werden, wenn viele Augen unabhängig voneinander drauf schauen. AES zum Beispiel ist "open source", ebenso wie PGP oder Signal. Enigma und CSS (content scramble system) waren "proprietary", mit bekanntem Ergebnis...

Hi TJ, ich wollte deine Übersetzung der CCC-Keynote gerade mal ansehen, erhalte aber eine Fehlermeldung ("Zugriff verboten/App not enabled").

mmm gerade gegengeprüft, habe keine Probleme... und ich sitze gerade im Homeoffice und nicht im Office. Oder sitzt Du irgendwo östlich von Estland oder südlich von Italien? Meine IDS/IPS reagiert da besonders empfindlich auf geoIPs aus bestimmten Ländern... alternativ gib über PN Deine Email

Ich "sitze" ganz einfach in Unitymedia. IP-Adresse im Bereich 5.147.52.x

Aus Belgien geht es auch nicht. Vermutlich wurde ich gleich als malware identifiziert ;-)

Moin, ah die PDF-Reader App war nicht nach "außen" freigegeben: Probier bitte jetzt nocheinmal. Wenn das nicht klappt, dann den zweiten Link zum Direkt-Download darunter, den ich soeben hinzugefügt habe. Und wenn das immer noch nicht klappt, PN mit Deiner Email zum Antworten.

Funktioniert jetzt. Danke. Damit kann ich den Text auch Leuten empfehlen, die nicht so flüssig im Englischen sind.

...vor allem weil Dein original link zur englischsprachigen Version auch nicht zu funktionieren scheint.

https://www.antipope.org/charlie/blog-static/2018/01/dude-you-broke-the-future.html

Der sollte aber funktionieren (tut er hier).