Ich suche für externe Projekte einen Ersatz für das sonst vom Dienstleister angebotene Jira auch mit einem externen Git. Prinzipiell wäre es ja schön opencode für diese Dinge zu nutzen, aber die Projekte sind nicht zwingend Open Source. Nutzt ihr dazu eine Plattform? Kommerziell oder von anderen Anbietern bereit gestellt?
Hi Max,
wenn ein Teil der Projekte Open-Source-Software ist, wäre Opencode doch naheliegend.
Darüber hinaus könnte für die bisher geschlossenen Projekte geprüft werden, was die Gründe für eine geschlossene Codebasis sind und ob eine Veröffentlichung ggf. doch sinnvoll ist.
Unabhängig davon gibts natürlich auch noch Tools wie Openproject, dass z.B. auch über eine gitlab Integration verfügt: GitLab integration
Cheers
Sebastian
Hallo Sebastian,
an mir scheitert die Veröffentlichung nicht, aber frage quasi nur für einen Freund oder Kollegen
Opentools nutzt ihr dann für offizielle Projekte von der Behörde aus? Auch sicherheitsrelevante Projekte?
Da wollen wir hin. Auch bei uns ist es oft zähes „aufklären“. Dabei sollte gerade bei sicherheitsrelevanten Projekten der Quellcode offen zugänglich sein. Ist der Code öffentlich, kann man auch aktiv an dessen Verbesserung arbeiten (z.B. durch ein Bug Bounty Program, oder Hackathons)
Wir dokumentieren das Vorgehen unserer Open-Source Initiative komplett über die Opencode Plattform: AGOSS
Wir glauben, dass kann
a) anderen Akteuren helfen, die sich mit ähnlichen Themen beschäftigen,
b) einen Weg aufzeigen, wie man auch non-Code Inhalte, auf der Opencode Plattform publizieren kann,
c) im Idealfall auch weiteres Feedback bringen.
Darüber hinaus versuchen wir gerade, bestehende Entwicklungsprojekte dort unterzubringen.
Cheers
Sebastian
Moin,
die Frage zuerst: Wofür nutzt ihr Jira?
Generell kann es bei einer guten Strukturierung auch funktionieren etwas wie Gitlab selbstgehostet zu verwenden und dort auch eure Projekte über Issues zu managen. So habt ihr nur einen Service.
Problem bei Gitlab ist, dass es sehr viel Pflege braucht, weil regelmäßig Sicherheitslücken gefunden werden. Teilweise auch mehrmals tägliche Updates.
Dazu kommt, dass dafür dann auch bedacht werden sollte, dass Anhänge, wenn man diese in Issues oder Kommentare packt (je nachdem wo man sie anhängt) auch public sind, wenn das Repo/Projekt nicht public ist (!).
Da nicht viel darauf eingegangen wurde, was genau gemacht werden soll (große CI/CD Dinge?), würde ich eher zu einem light-weight Dienst wie Forgejo greifen. Dieser ist besser zu maintainen.
Von Opencode würde ich Abstand halten für eigene Dinge, die nicht öffentlich gehören.
Dafür gibt es zu wenig Reaktion auf Feedback, gab es lange Datenschutzprobleme, die nicht behoben wurden. Und dazu müsstet ihr sehr wahrscheinlich [keine Rechtsberatung] auch mit eurem DSB klären, in wie weit ihr einen AVV bekommt und dann ist die Frage, ob lt. TOMs es wirklich der aktuelle Stand der Technik ist, dass OTP einfach gelöscht werden. Das ist etwas, was m. M. n. gar nicht passieren dürfte.
Zustimmung @schieke. Private Repos sind bspw. dauerhaft auf Open CoDE zulässig, wenn diese zur Unterstützung eines öffentlichen Open Source-lizenzierten Repositories verwendet werden. Das Projektmanagement eines OS-Projektes z.B. muss daher nicht zwingend in öffentlichen Repos stattfinden.
@oc000004713604 - Welche Datenschutzprobleme meinst Du hier genau? OTP können nicht einfach gelöscht werden. Das Passwort können Nutzende zwar selbst zurücksetzen (über „Passwort vergessen“), aber die erforderliche 2FA kann nur von Admins zurückgesetzt werden.
Welche Datenschutzprobleme meinst Du hier genau?
Das ist jetzt etwas Thread-Kapern, weil das Thema ja eigtl. Projektmanagement ist, aber ich versuchs mal.
OTP können nicht einfach gelöscht werden. Das Passwort können Nutzende zwar selbst zurücksetzen (über „Passwort vergessen“), aber die erforderliche 2FA kann nur von Admins zurückgesetzt werden.
Das stimmt nicht ganz. Wenn dein Account nach 6 Monaten inaktiv wird und du dann auf Passwort vergessen
klickst, dann wird automatisch das OTP gelöscht. Das ist relativ sinnfrei, da der OTP dafür da ist, dass nicht einfach, schon gar nicht bei längerer Inaktivität/Vergessen des Accounts das ausgehobelt wird.
Das habe ich das erste Mal von vor einem Jahr festgestellt und reportet. Gestern erneut getestet und es ist immer noch so:
Und das bringt mich zum nächsten Datenschutzproblem. Die Vorschau in Discourse muss eigtl. abgeschaltet sein oder lokal ausgeliefert. Momentan wird durch die Vorschau eine direkte Verbindung zu der eingefügten Seite aufgebaut, egal ob man diese angeklickt hat oder nicht. Das führt auch dazu, dass die IP Adresse direkt an diese Seite Seiten ohne explizite Einwilligung gem. DSGVO (Art. 7) weitergegeben werden. Auch eine vorherige Information fand/findet nicht gem. DSGVO statt.
Ähnliches kann man hier (selbe Funktionsweise) nachlesen: Google Fonts und die DSGVO: Eine Datenschutzfalle?
Auch dieses Ticket wurde nur zur Hälfte bearbeitet und einfach ohne Erklärung geschlossen (bad practice): Unvollständige Datenschutzerklärung (#6) · Issues · OpenCoDE / OpenCoDE-Feedback · GitLab
Als Beispiel was macht hier zum Beispiel immer noch Gravatar? Habt ihr hier wirklich einen AVV bekommen? Die verarbeiten E-Mails, Bilder…und in wie fern hätte der AVV Gültigkeit, da zu dem Zeitpunkt wo das Forum online ging das Privacy Shield gekippt war…
Auf das EU-US Data Privacy Framework wird sich OpenCode wohl auch schwer stützen können, denn das war erst Juli 2023 in Kraft.
Das Datenschutzticket in dem das schon abgebildet ist, ist jedoch von April 2022. Wie kann hier jemals eine rechtmäßige Verarbeitung stattgefunden haben? Wurde die Plattform je vom BfDI geprüft und abgenommen? Diese Frage ist rein rhetorisch, denn ich habe schon nachgefragt. Selbst wenn ihr das jetzt -teilweise- rausgenommen habt, wie wollt ihr bei all den Dienstleistern eine Löschung einfordern? Von IP Adressen, die ihr wahrscheinlich selbst nicht mehr habt und vermutlich auch ohne eine vertragliche Grundlage?
Und wie ich hier auch schon erwähnt hatte manche Skripte/Tracker hattet ihr ja selbst aktiv eingebaut: Unvollständige Datenschutzerklärung (#6) · Issues · OpenCoDE / OpenCoDE-Feedback · GitLab
Bei Discourse bedarf es einiger extra Datenschutzeinstellungen, da das nicht out-of-the-box perfekt ausgeliefert wird. Im Gegenteil die Entwickler mussten Jahre nach Release noch widerwillig und erst auf pochen der Community Dinge nachbessern (GitHub - discourse/discourse: A platform for community discussion. Free, open, simple.).
In wie fern wird nach dem Prinzip der Datensparsamkeit agiert und Nutzer gelöscht? Hier müsste ja zwischen behördlich und Privatperson wahrscheinlich noch unterschieden werden. Das scheint alles ziemlich unklar.
Und wenn ich genauer gucken würde, wäre ich sicher, da findet sich bestimmt noch mehr.
Was ich aber sagen will ist, dass das nicht sein kann das solche Dinge 1-2 Jahre unbearbeitet herumliegen. Es scheint niemand zuständig und eine security.txt
gibt es auch nicht. In wie fern kann es dann reinen Gewissens Behörden auch für internal use angeboten werden? Bekommen die Behörden dann auch einen AVV inkl. TOMs, wenn ja, was steht dann drin? Weil da müsste ja dann eigentlich drin stehen, das es sowas was ich hier gerade genannt habe nicht gibt. Keine Rechtsberatung, gerne beim BfDI nachfragen.
Danke für den Hinweis, ich habe das Issue neu im Team aufgebracht und die Löschung der OTP wurde gestern deaktiviert, so dass man über „Passwort vergessen?“ nur das Passwort neu setzen darf, aber nicht die 2FA. Die Antwort ergänze ich auch vollständigkeitshalber noch in deinem Ticket. Wie das mit der Vorschau in Discourse genau läuft und ob dies abgestellt werden kann, frage ich nach. Das Issue zur Datenschutzerklärung habe ich ebenso weitergegeben und melde mich in kürze hierzu (einfach unter dem Ticket #6).
Bzgl. Zuständigkeit: Anfang diesen Jahres hat das ZenDiS die Projektträgerschaft für Open CoDE übernommen und entwicklen wir, das Open CoDE Team, seit einem halben Jahr die Plattform weiter. Am 08. Oktober findet den ersten Community Call statt, wo wir gemeinsam über die Plattform im Austausch gehen möchten.
Das war zwar alles ein wenig off-topic (sorry), also daher noch eine Sache on-topic: Ich kann aus Erfahrung bestätigen, dass OpenProjects eine gute Jira Alternative ist, v.a. wenn man die umfassende Issue-Tracking-Funktionen von Jira gewohnt ist. Das hängt dann mit der Frage von @oc000004713604 zusammen, welche Anforderungen ihr habt bzw. wofür ihr es nutzt.