Mitwirkung von Git-Platform Federation

oc000014411350 · 31. Mai 2023 um 12:36

Aus meiner Sicht wäre es sinnvoll wenn Behörden und die öffentlichen Verwaltungen Europas dabei helfen, Git-Platformen wie FOrgejo, welche aktuell an einer Federation zwischen Git-Repositorys bauen, diese umzusetzen: #59 - [FEAT] implement federation - forgejo - Codeberg.org

oc000017044029 · 12. Juni 2023 um 14:10

Die Föderation von Git-Plattformen ist absolut sinnvoll. Gibt es hierzu bereits etablierte Interoperabiltäts-Standards?

oc000014411350 · 12. Juni 2023 um 14:27

Das Fediverse und das ihm i.d.R. zugrunde liegende Protokoll ActivityPub wird z.B. von forgejo genutzt um zunächst alle auf Gitea Instanzen (mit dem Fediverse und anderen Gitea Instanzen) föderieren zu können - langfristig ist der Plan auf GitHub, und GitLab zu föderieren.

oc000017044029 · 12. Juni 2023 um 14:37

Dankeschön. Was fehlt hierzu noch um in Richtung GitHub und GitLab zu föderieren? Sind GitHub und GitLab involviert?

oc000014411350 · 14. Juni 2023 um 10:25

Soweit mir bekannt sind GitHub und GitLab nicht involviert in die Entwicklungen von Forgejo - aber: Es ist absehbar, dass GitHub und GitLab aufbauend auf der Arbeit von forgejo ASAP nachziehen werden.

oc000017044029 · 21. Juni 2023 um 11:41

Was fehlt aktuell um in Richtung GitHub und GitLab zu föderieren?

oc000004713604 · 22. September 2024 um 10:28

Warum ist die Förderation von Git Repos sinnvoll?

Es gibt bereits im Fediverse eben durch die Förderation massive rechtliche Probleme, weil es von allen Beiträgen Schattenbeiträge gibt. Darunter auch ein nicht kleiner Teil an strafrechtlich relevanten Dingen. Mobbing, Nacktfotos, Verletzung von Persönlichketsrechten - was auch immer - das wird mehrfach an alle möglichen federierten Instanzen auch außerhalb der EU gespiegelt und das mit der Löschung funktioniert nicht wirklich gut. Zum Schaden für die Opfer.

Ja, aber was soll bei Git denn passieren?
Ich kann ein paar Beispiele nennen…(also abgesehen, davon das Codeberg bis heute keine wirkliche Datenschutzerklärung hat):

Ein Beispiel auf Codeberg gab es bevor sie gesagt haben ihr müsst eine Lizenz haben, den Fall das alles gehostet werden konnte. CVs, Audiodaten usw. usw. (selbstverständlich ohne Lizenzangabe). Codeberg hat sich beispielsweise einfach an ein französisches Forschungsprojekt angeschlossen, die die Daten einfach kopiert haben. Das führt dazu, dass die jetzt obwohl im Orignal gelöscht ziemlich viele persönliche Dinge von Menschen öffentlich im Netz stehen haben, die dachten sie hätten die gem. DSGVO gelöscht. Und nicht nur das, sondern auch von Menschen, die die Daten nicht einmal selbst eingepflegt haben wie beispielsweise eine mp3 eines Telefonats. Auch sehr fragwürdig, ob dem zugestimmt wurde.

Aber sagen wir, man könnte sowas abdecken und verhindern.

Was ist bei:

„Security“ Projekten, die massiv auf Github zu finden sind, wo einfach irgendwo im Internet SSH / GPG Schlüssel kopiert wurden und ohne Wissen eingepflegt? Viele GPG Schlüsselserver haben (zum Glück) dicht gemacht, weil niemals verifiziert wurde, ob die Person da wirklich selbst den Schlüssel hochgeladen hat und diesen nicht einmal mehr löschen konnte, weil der zu x weiteren Schlüsselservern auch noch ohne irgendwelche Kontrolle gepusht wurde. Wollen wir diese Büchse der Pandora wieder öffnen?
Was ist, wenn Teile vom Code gegen Urheberrechte verstoßen ohne Erlaubnis genutzt wurden? Bei Forks auf einer Plattform kann man hier sein Recht noch einigermaßen gut einfordern, aber einmal im Code bei einer Versionierung wirklich schwer bis unmöglich. Passiert öfter als gedacht.
Bei Länder/Kontinetübergreifender Federierung auch ganz andere Probleme wie KI/AI. Selbes Problem wie bei Mastodon und Co. Man hat pro Instanz unterschiedliche Regeln und Content wird auch zu Instanzen mit anderen Regeln gepusht. Nehmen wir an, die Instanz auf dem der Code veröffentlicht wird, hat die Regel kein AI/KI use wird dann aber zu einer gepusht, die das zulässt. Und dann? Wie viele werden das nachprüfen? Wenn auf der dann der AI Bot drüber läuft, dann ist es schlecht. Dazu kommt, dass man sich hier für solche Fälle generell Gedanken machen müsste.
Was auch mehr als einmal schon passiert ist, gerade bei kleinen Unternehmen: Etwas wird gepusht, was nicht hätte gepusht werden sollen. Beispielweise eine Gehaltsabrechnung eines Mitarbeiters oder ein Personalbogen oder ähnlich sensibel. Das wird man dann nicht mehr rausbekommen bei einer Förderierung. Man kann dann nämlich nicht, wenn man das innerhalb einer kurzen Zeit sieht sagen „Huch schnell löschen“ und vielleicht mit ganz ganz viel Glück noch Schwein gehabt haben, dass es nicht in einem Fork ist oder wohin gespiegelt wurde…dann wurde es nämlich sicher auf jede förderierte Plattform gepusht.

Und das sind alles Sachen, darüber wird wenig bis gar nicht nachgedacht.