App-Entwicklung für Firmen - weitergabe privater Schlüssel/Zertifikat vermeiden! Wie?

Switchbitch

Switchbitch

Aktives Mitglied
Thread Starter
Dabei seit
08.01.2006
Beiträge
238
Reaktionspunkte
7
Hallo,

wir sind Auftraggeber und lassen von externen Firmen Apps für uns entwickeln. Das Ergebnis ist also eine InHouse/Enterprise App die über unser MDM verteilt wird. Die Apps werden auf uns signiert (eigener großer Dev-Account vorhanden).

Die Frage:
Die Entwickler benötigen zum Erstellen der Apps in unserem Namen das "Distribution Zertifikat" und den "Private Key".

Unser Problem:
Wenn wir jetzt immer schön beides verteilen kann in Zukunft halb Deutschland Apps in unserem Namen entwickeln und in Umlauf bringen.

Mögliche Lösung in Sicht?

1. Wir geben weiterhin die Daten (Distribution Zertifikat und Private Key) raus

2. Der Entwickler muss bei uns auf UNSEREM XCode SEINEN Quellcode einlesen und die Sachen erstellen

3. Angeblich gibt es ein Tool mit dem der Prgorammierer seinen Code direkt in eine Repository oder sowas laden kann und auf usnerem Server dann alles zusammengebaut und signiert wird.

4. ???


Wir macht Ihr das bzw. wie handhaben Eure Kunden das?


Vielen Dank
Eure Switchbitch
 
Der Kram läuft doch ohne den ganzen Signierkram im Simulator.
Zusammenschrauben für den Release müsst ihr das dann halt selbst.

Also: Der Sub schreibt was, testet es im Simulator und schickt euch den fertigen Code, den ihr dann compiled/signiert etc
 
Aber müsste uns dann der Entwickler nicht den Quellcode liefern? (was meines Erachtens niemand ohne spezielle Vertragliche Regelung machen würde, da Quellcode = Kapital).
 
Ihr habt nen Vertrag in dem der Typ den Quellcode behält??
Klar ist Quellcode Kapital, aber ihr ZALHT doch dafür. Er wird bezahlt, für euch den Code zu schreiben. Der ist dann euch.
Ist das nicht so, müsst ihr bei jedem iOS Release mit dem die App nicht mehr läuft auf Knieen zu ihm kriechen und mit viel Geld flehen, dass er es fixt.
 
Hallo,

Wenn wir jetzt immer schön beides verteilen kann in Zukunft halb Deutschland Apps in unserem Namen entwickeln und in Umlauf bringen.
Zum Vergrößern anklicken....
Warum sollte das so sein?
An eurer Stelle würde ich die Entwicklerbude wechseln, wenn ihr glaubt, dass das so sei.

Ich habe alle Zugangsdaten meiner Kunden und keiner hat mir jemals solche Bedenken gegenüber geäußert.
Im Leben nicht würde ich diese Daten anderweitig verwenden.

Im Regelfall fallen solche Daten auch automatisch mit in die NDA hinein.
Auch aus diesem Grund verstehe ich eure Sorge nicht.

Viele Grüße
 
Ihr habt nen Vertrag in dem der Typ den Quellcode behält??
Klar ist Quellcode Kapital, aber ihr ZALHT doch dafür. Er wird bezahlt, für euch den Code zu schreiben. Der ist dann euch.
Ist das nicht so, müsst ihr bei jedem iOS Release mit dem die App nicht mehr läuft auf Knieen zu ihm kriechen und mit viel Geld flehen, dass er es fixt.
Zum Vergrößern anklicken....
Auch wenn Du es nicht gerne hörst und sich der Sinn vielleicht nicht erschließt.
Natürlich gehört der Quelltext, insofern nicht vertraglich geregelt, nicht dem Auftraggeber.

Wie Du schon sagst kauft der Auftraggeber seine Anwendung.
Im Quelltext steckt jahrelanges Wissen etc. natürlich gibt man den nicht so her.

Viele Grüße
 
Und wenn die Firma kein Update mehr bereit stellen will, zahlst Du nochmal den vollen Preis für eine andere Bude, die Dir was ähnliches baut.
Im Schlechtesten Fall 1x im Jahr.

Wer macht denn sowas? Das ist ja ein Geschäftsrisiko ohne Ende.
 
Das muss ich aber auch mal unterschreiben. Ich bezahl doch keine Softwareentwickler die dann nach 6 Monaten nicht mehr beim Dienstleister arbeiten und der sagt dann "Pech gehabt...". Nee Nee. Software bedeutet Quellcode mit Infrastruktur zum bauen. Sonst geht da nichts.

Die können pleite gehen, der Geschäftsführer verkauft an irgendwen oder wer weiss was.
Hinterher heisst es dann nur "Nee, können wir nicht mehr weiter pflegen."

Wenn Du ne Fertiglösung im App Store willst, ist das OK. Aber mehr als ne Taschenlampen App würde ich so nicht beauftragen.
Klar gibt es Firmen die sinnlose Werbe-Apps für irgendwen in den Store stellen.
Aber da geht's ja nicht um Technologie sondern Marketing Bullshit.
 
Das mit dem Quellcode ist leider so, dass keine Firma diesen rausgeben muss und wenn ich mich an meine IT-Recht-Vorlesung erinnere ist auch auch korrekt so. Aber darum geht es primär nicht.

Ihr habt also von euren Kunden immer alle Daten und gut ist. Wenn Ihr ein neues provisioning Tool braucht fragt Ihr beim Kunden an bzw. habt sogar Zugriff auf denren DEV-Account und erstellt den Kram selbst?
Dachte es gibt ene ellegante Lösung das sich ein File geschickt bekomme (nicht den Quellcode, vieleicht was bereits kompiliertes) und dann hier alles zusammenbaue und gut ist. Ich bin glücklich weil ich keine Zertifikate und Schlüssel rausgeben muss und Entwickler ist glücklich weil ich seinen Quellcode nicht sehe.

Diese Lösung dass man aus XCode den Code direkt zum Server des Kunden überträgt und hier die kompilierung stattfindet sagt Euch nichts?

Danke
 
Apple beschreibt folgendes Szenario.

http://developer.apple.com/library/...tainingCertificatesandProvisioningAssets.html

Dir ist bewusst dass ein Entwickler beliebig vielen Teams angehören kann?

Bin ich also eine Firma "A" mit einem Firmen-Account, kann ich den Entwickler E1 und E2 zu meinem Team hinzufügen.
Diese können dann bei der Anmeldung am Developer Portal das Team auswählen, an dem sie aktuell arbeiten.

Ich muss für diese Entwicker keine Keys generieren.
Die Geräte stehen im Provisioning Profile und der Entwickler signiert lokal auf seinem Mac mit seinem Key.

Er kann halt nicht in den Store submitten und das soll ja so sein.
Oder ich habe Deine Frage nicht verstanden.
 
  • Gefällt mir
Reaktionen: iCode
Üblicherweise wird das wie pmau sagt gehandhabt. Man ist als Developer halt Teil eines/des Teams, und das Submitten in den Store kann nur der "Agent" (Auftraggeber). Es sei denn der Auftraggeber ist mit dem Einstellen überfordert, dann kann man anbieten.

Wenn die eingangs genannte Befürchtungen bestehen, würde ich als Auftraggeber evtl. in turnusmäßig das Zertifikat durch ein neues ersetzen.
 
pmau schrieb:
Das muss ich aber auch mal unterschreiben. Ich bezahl doch keine Softwareentwickler die dann nach 6 Monaten nicht mehr beim Dienstleister arbeiten und der sagt dann "Pech gehabt...". Nee Nee. Software bedeutet Quellcode mit Infrastruktur zum bauen. Sonst geht da nichts.
Zum Vergrößern anklicken....
Wenn ein Entwickler geht, ist das unerheblich. Der Code bleibt Eigentum des Dienstleisters. Das ist bei jedem größeren Dienstleister üblich.

pmau schrieb:
Die können pleite gehen, der Geschäftsführer verkauft an irgendwen oder wer weiss was.
Hinterher heisst es dann nur "Nee, können wir nicht mehr weiter pflegen."
Zum Vergrößern anklicken....
Wenn die Anwendung nicht trivial ist, sichert man sich gegen sowas in beiderseitigen Einvernehmen durch eine Hinterlegung des Sourcecode beim Notar ab. Das ist die übliche Methode. - Also es wird dort eine Sicherungskopie hinterlegt, die dem Kunden im vereinbarten Fall ausgehändigt wird.
 
Hausbesetzer schrieb:
Und wenn die Firma kein Update mehr bereit stellen will, zahlst Du nochmal den vollen Preis für eine andere Bude, die Dir was ähnliches baut.
Im Schlechtesten Fall 1x im Jahr.

Wer macht denn sowas? Das ist ja ein Geschäftsrisiko ohne Ende.
Zum Vergrößern anklicken....

Nein. Üblicherweise gibt es einen Vertrag, in dem auch die Verfahrensweise mit Updates geregelt ist.
 
iCode schrieb:
Nein. Üblicherweise gibt es einen Vertrag, in dem auch die Verfahrensweise mit Updates geregelt ist.
Zum Vergrößern anklicken....
Dir ist schon bewusst, dass das an die Firma gekoppelt ist?
Einmal Firma auflösen und unter neuer Firmierung eröffnet und schon kannst Du mit dem Vertrag Klos putzen gehen.
Passiert häufiger als man denkt.
 
Wenn die Firma "aufgelöst" wird, dann verliert sie aber auch die wirtschaftlichen Verwertungsrechte an der Software. (Urheberrecht hat ohnehin der Entwickler als Mensch...)
Und die Rechte vor dem Auflösen mal eben an Dritte übertragen wäre dann gegen den bestehenden Vertrag sofern es einen gibt.

Ganz so einfach kann man Kunden nicht unbedingt aufs Kreuz legen, jedenfalls nicht bei Software. Dass sich offenbar viele Baufirmen ihrer Pflichten durch plötzliche Konkurse entledigen, ist eine andere Sache. :)
 
Switchbitch schrieb:
Unser Problem:
Wenn wir jetzt immer schön beides verteilen kann in Zukunft halb Deutschland Apps in unserem Namen entwickeln und in Umlauf bringen.
Zum Vergrößern anklicken....

Hallo,

wir lassen ebenfalls externe Firmen für uns entwickeln (für den B2C App Store und über den Enterprise Account)

Du kannst die Entwickler berechtigen (dazu gibt es ja die entsprechende Seite) und später auch wieder die Berechtigung zurück ziehen.
Selbstverständlich kannst Du das Zertifikat auch erneuern - wenn Du willst.

Wo ist das Problem?

btw: Das Unternehmen für das ich arbeite hat 15.000 Mitarbeiter. Ich bin verantwortlich für die weltweite App Entwicklung und Bereitstellung. Wir sind also keine kleine Klitsche
 
Hausbesetzer schrieb:
Und wenn die Firma kein Update mehr bereit stellen will, zahlst Du nochmal den vollen Preis für eine andere Bude, die Dir was ähnliches baut.
Im Schlechtesten Fall 1x im Jahr.

Wer macht denn sowas? Das ist ja ein Geschäftsrisiko ohne Ende.
Zum Vergrößern anklicken....

Such Dir vernünftige Partner und nutze einen entsprechenden Vertrag.

Tipp:
Qualitätsmanagement bei der Erstellung des Programms - das keine Einmaleins des Auftraggebers.
 
buerger schrieb:
Such Dir vernünftige Partner und nutze einen entsprechenden Vertrag.
Zum Vergrößern anklicken....
Stimmt, ich frage einfach vorher ob die vorhaben, mich in 2 Jahren sitzen zu lassen.
*kopfklatsch*
Natürlich. Warum bin ich da nur nicht selbst drauf gekommen??
 
Hausbesetzer schrieb:
Stimmt, ich frage einfach vorher ob die vorhaben, mich in 2 Jahren sitzen zu lassen.
*kopfklatsch*
Natürlich. Warum bin ich da nur nicht selbst drauf gekommen??
Zum Vergrößern anklicken....

ich weiss auch nicht.
Wir lassen uns vertraglich eine bestimmte "Dokumentationstiefe" und alle Sourcen zusichern. Ehe wir das Projekt abnehmen wird das Projekt dahingehend geprüft und abgenommen. Ein NDA ist eh Pflicht.

Wenn man dann noch mit größeren Unternehmen wie adesso oder iconmobil zusammen arbeitet gibt das keine Probleme - zumindest ist so meine Erfahrung der letzten Jahre.

(Dienstleisterbeispiel)

Wenn Du natürlich mit Freelancern oder Studenten zusammen arbeitest und die Rahmenbedingungen nicht konsequent absteckst muss man sich natürlich Sorgen machen (wobei das natürlich auch sehr gut funktionieren kann).
 
buerger schrieb:
ich weiss auch nicht.
Wir lassen uns vertraglich eine bestimmte "Dokumentationstiefe" und alle Sourcen zusichern. Ehe wir das Projekt abnehmen wird das Projekt dahingehend geprüft und abgenommen. Ein NDA ist eh Pflicht.
Zum Vergrößern anklicken....
Tja genau mein Argument.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten