Ross Anderson has good work looking at security as<br />a lemon market. Since you can not detect quality, you<br />buy the cheapest.  Since no one buys more expensive<br />quality, only garbage is left.<br /><br />Some of my students wanted to make a futures market<br />to counter this.<br /><br />Sent from my Huawei Mobile<div style="line-height:1.5"><br /><br />-------- Original Message --------<br />Subject: Re: [liberationtech]  An â€˜Off-the-Shelf, Skeleton Project’: Experts Analyze the App That Broke Iowa<br />From: Don Marti <br />To: Thomas Delrue <br />CC: LT <br /><br /><blockquote style="margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote style="margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex">begin Thomas Delrue quotation of Sat, Feb 08, 2020 at 04:26:50PM -0500:<br /><br />> Let's also not forget about the systemic issues that lead to the<br />> symptoms as described in the article. The problem is not the symptoms,<br />> the problem is why those symptoms are there in the first place...<br />> <br />> I don't remember where I found this, but this is very apt (and while I<br />> do not condone all viewpoints in this blurb, the gist of it, I think is<br />> accurate):<br /><br />This is an interesting example of a market failure.<br /><br />Developers would prefer to release software at a high<br />quality level.  Users prefer to use software at a<br />high quality level.  However, firms are incentivized<br />to release software at a lower quality level than<br />would be chosen by either developers or users.<br /><br />How do you design a system that lets users quantify<br />and hedge the risks of low-quality software, while<br />compensating developers to do the extra work to bring<br />the software up to a higher quality level?<br /><br />(I don't think this is a question of credentialism<br />or gatekeeping...if I needed a responsive, reliable<br />CRUD app I'd trust a code bootcamp graduate working<br />in a good QA and culture environment over someone<br />with the right piece of paper on their wall.)<br /><br />A variety of systems have been proposed, including<br />subscriptions, bounties, and dominant assurance<br />contracts. Here's a paper (I'm a co-author) on another<br />possibility: futures contracts on bugs/tasks.<br /><br />https://academic.oup.com/cybersecurity/article/5/1/tyz011/5580665<br /><br />(A market based on this research is set to launch<br />around the begining of March.  Anyone interested in<br />participating, please let me know.)<br /><br />-- <br />Don Marti                    <br />https://blog.zgp.org/<br />Are you safe from 3rd-party web tracking?  https://www.aloodo.org/test/<br /><br />-- <br />Liberationtech is public & archives are searchable from any major commercial search engine. Violations of list guidelines will get you moderated: https://lists.ghserv.net/mailman/listinfo/lt. Unsubscribe, change to digest mode, or change password by emailing lt-owner@lists.liberationtech.org.</blockquote></blockquote></div>