Komm' weil gerade Kaffeepause ist:

Ich weiß nicht, wie gut Du die Software-Entwicklung im (wirklich) großen Stil kennst, aber 90 Tage halte ich für knapp. 6 Monate allerdings auch wieder für zu lang...

90 Tage sind inoffizieller Standard und wird z.B. von Google Project Zero gelebt. Wenn ein Hersteller nicht binnen dieser Zeit patcht, wird veröffentlicht. Nur so bringt man die schwarzen Schafe zum Laufen.

Die Industrie muss hier Verfahren haben, mit solchen bekannt gewordenen Lücken zügig und sachgerecht umzugehen.

Die Industrie? Was soll das sein? Diese Frage könnten wir gerne weiterspinnen. Ich bitte Dich aber zuvor diese preisgekrönte, kanadische Dokumentation gesehen zu haben: The Corporation.

Aber bevor mir jemand mit "agile Methoden" oder "DevOps" kommt. Die betroffenen Microcodes und Betriebssysteme und vor allem deren Entwicklungsprozesse/-verfahren mit den beteiligten Stellen in den Unternehmen sind über (teilweise) Jahrzehnte "gereift" und lassen sich - meiner bescheidenen Erfahrung nach - zwar auf "agil" und "DevOps" umstellen, aber nur unter erheblichem Aufwand und nicht einfach so per Ansage der Chefs.

Von Agil, Scrum und wie die ganzen Yuppi Techno-Buzzwords heissen halte ich genauso wenig. Am Ende ist es nichts anderes, als alle im permanenten Notfall arbeiten zu lassen. Hier erfährst Du mehr davon. Sorry, arbeiten an langfristigen und nachhaltigen Projekten geht anders. Aber ich bin da der schlechteste Ansprechpartner, da ich mir den Luxus leiste, nur die Dinge anzunehmen, die mir auch gefallen und ich persönlich als sinnvoll erachte.

Spannende Forderung. Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? Und welchen Anreiz hätte dann ein Unternehmen, sich überhaupt noch mit sicherheitsrelevanter Software zu befassen? Alles unter staatlicher Kontrolle? Dann wird's besser?

In den seltensten Fällen "entwickeln" Unternehmen Ihre "eigene Lösungen". Klopf mal einmal hinter die schicken Oberflächen und draufgepappten Logos. Und wen ich dabei erwische, gerade in sicherheitskritischen Bereichen mit mathematisch und wissenschaftlich bewährte Algoritmen und Verfahren rumzumurksen, der wird eigenhändig, standrechtlich virtuell erschossen. Nimm das jüngste Beispiel mit der PC-Wahl Software - was muss ich dazu noch sagen... nochmals, wenn ein Verfahren sicher ist, dann kann es auch veröffentlicht werden. Das ist anerkannter Security-Konsens. Aber solange man auf nach oben weisende GPS Antennen als Sicherheits-Feature vertraut, what possibly could go wrong?

Zum Glück bin ich mit meiner Infrastruktur anscheinend so uninteressant, dass bisher keiner meiner Rechner von irgendeinem Virus oder anderer Malware befallen wurde.

Du magst für die Welt ja uninterresant sein, Dein Router ist es aber sicher nicht. Denn als Bot-Mitglied hilft er im Hintergrund mit, andere Websites per DDOS auszuknipsen, Spams oder Kinderpornos herumzureichen. Oder vielleicht koordiniert es als C&C auch die nächste Malware Attacke oder - wie in diesem Thread als Szenario beschrieben - programmiert ein Hacker über diesen gerade die FMCs von Airlinern um, who knows?

Ein Mindesthaltbarkeitsdatum von Software hilft einem Einkäufer, egal ob daheim oder in Unternehmen herauszufinden, ob er den letzten Chinakram kauft oder ein Unternehmen, das jahrelangen Service & Support garantieren kann. Essentiell gerade dort, wo lange Produkt-Entwicklungszyklen existieren.

Wer soll fördern? Wer entscheidet, was gefördert wird bzw. wann eine Förderung eingestellt wird?

Na dann schau doch mal bei der Apache oder Document Foundation vorbei. Es gibt da zig Stiftungen und Initiativen.

So lange die nicht in die Software im Cockpit eingreifen, ist doch alles gut...

Was die Flotten längst machen, können offensichtlich andere mit minimalem Aufwand ebenfalls... es ist nicht die Frage des "ob" sondern des "wann". Und was Digitalisierung anbetrifft. Wenn Du Dir andere Branchen anschaust bedeutet "Digitalisierung" immer Erhöhung der Wertschöpfung, Kapital aus den Daten schlagen, immer mehr Druck auf die eigenen Mitarbeiter ausüben. Demnächst gibt es dann wohl auch bei uns Szenen, wie Passagiere aus überbuchten Fliegern rausgezerrt werden? Natürlich bedauert dann am Ende jeder die Situation und niemand übernimmt die Verantwortung. Der Algoritmus war's.

Nenne mir bitte ein Unternehmen, welches Digitalisierung und die damit verbundene Prozesse zur Verbesserung der Arbeitssituation der eigenen Mitarbeiter vorantreibt? Oder Kunden wirkliche Vorteile bieten möchten und nicht hinten herum mit Datenverkauf und data-driven Geschäftsfeldern übervorteilen will?

(die Kaffeepause ist um längen überzogen...)

90 Tage sind inoffizieller Standard und wird z.B. von Google Project Zero gelebt. Wenn ein Hersteller nicht binnen dieser Zeit patcht, wird veröffentlicht. Nur so bringt man die schwarzen Schafe zum Laufen.

Erstens inoffiziell, und zweitens darfst Du Google, die schon seit ihrer Gründung anders als "klassische" Unternehmen arbeiten, nicht mit Intel, Microsoft oder auch Apple vergleichen, was das angeht.

Die Industrie? Was soll das sein? Diese Frage könnten wir gerne weiterspinnen. Ich bitte Dich aber zuvor diese preisgekrönte, kanadische Dokumentation gesehen zu haben: The Corporation.

Ganz einfach (ohne Blick auf die Doku): Jeder Hersteller, der Produkte gegen Geld anbietet. Oder weißt Du selbst nicht mehr, auf wen Du da schimpfst?

Von agil, Scrum und wie die ganzen Yuppi Techno-Buzzwords heissen halte ich genauso wenig.

Das habe ich nicht geschrieben. Ich schrieb lediglich, dass die Umstellung darauf nicht trivial ist. Ich habe selbst durchaus die Meinung, dass diese Methoden funktionieren, nur stülpt man das einem "klassischen" Unternehmen eben nicht einfach mal so über.

Am Ende ist es nichts anderes, als alle im permanenten Notfall arbeiten zu lassen.

Das ist falsch. Viele begehen bei der Umstellung diesen Fehler, aber das ist nicht der Gedanke bei agilen Prozessen und/oder DevOps.

Hier erfährst Du mehr davon.

Nein, da erfahre ich nur von jemandem, der scheinbar unter eineim gescheiterten agilen "Versuch" gelitten hat.

Sorry, arbeiten an langfristigen und nachhaltigen Projekten geht anders.

Stimmt, es geht auch anders. Aber es geht auch agil - wenn man es richtig macht.

In den seltensten Fällen "entwickeln" Unternehmen Ihre "eigene Lösungen".

Es gibt die, die "abschreiben". Es gibt natürlich auch diejenigen, die selbst etwas (meist schlechteres) entwickeln, ohne links und rechts nach besseren verfügbaren Methoden/Lösungen für ihr Problem zu schauen.
Aber es gibt auch die, von denen abgeschrieben wird.

Du magst für die Welt ja uninerresant sein, Dein Router ist es aber sicher nicht. Denn als Bot-Mitglied hilft er im Hintergrund wunderbar mit Websites von anderen per DDOS auszuknipsen oder Spams oder Kinderpornos herumzureichen. Vielleicht koordiniert es als C&C auch die die nächste Malware Attacke, who knows?

Gut, nur weil man paranoid ist, heißt das ja nicht, das "sie" nicht hinter einem her sind. Aber wenn ich mir in diesem Bereich keine eigene Kompetenz zutraue, dann darf ich entweder nicht online gehen, oder muss einem Hersteller/Lieferanten eines Routers und seinen - mehr oder weniger regelmäßigen - Patches vertrauen.

Ein Mindesthaltbarkeitsdatum von Software hilft einem Einkäufer, egal ob daheim oder in Unternehmen herauszufinden, ob er den letzten Chinakram kauft oder ein Unternehmen, das jahrelangen Service & Support garantieren kann. Essentiell gerade dort, wo lange Produkt-Entwicklungszyklen existieren.

Zumindest in größeren Unternehmen wird Software auch mit Blick auf den Support des Herstellers ausgesucht/gekauft. Ob der Hersteller dabei verläßliche Angaben macht und diese nach dem Kauf auch noch entsprechend einhält, garantiert aber auch kein vorher aufgedrucktes "Mindesthaltbarkeitsdatum".
Oder muss ich "Office 2016" jetzt wegschmeißen, weil 2016 draufsteht? Was mache ich denn, wenn es noch kein "Office 2018" gibt?

Was die Flotten doch schon längst machen...

Die ändern aber nicht die Software in den FMS und der Avionik, oder?

Olaf