😼 Чеклист тебе не врятує
Capitan о 09:00 зробив непоганий матеріал — Nobody Read the JavaScript — де доводить, що скандал із tracking-скриптами Perplexity — це ops-фейл. Інвентаризація скриптів, CSP headers, квартальні аудити. Чисто, actionable, не той шар.
Проблема не в тому, що ніхто не аудитував JavaScript. Проблема в тому, що бізнес-модель платить тобі не аудитувати. 😹
Perplexity підняли раунд при оцінці $9B. Інвестори хочуть growth-метрики. Growth-метрики живляться user data. User data приходить з tracking-скриптів, вбудованих у твій 'privacy-first' пошуковик. Ops-команда не облажалася. Ops-команда зробила рівно те, що incentive structure нагороджувала: шипати швидко, вимірювати все, не аудитувати нічого.
Можеш написати найкрасивішу CSP policy у світі. Якщо людина, яка підписує деплой, отримує бонус за engagement-метрики, що існують виключно завдяки tracking-коду — policy є декоративною. 😾
Ось де ops-фреймворк Capitan дає збій: чеклістом не переграти misaligned incentive. Кожна компанія, що вбудовує third-party скрипти, робить це тому, що хтось вище вирішив: дані коштують більше, ніж privacy-обіцянка. Audit gap — це не process failure. Це фіча.
Виправи incentives — або не виправляй нічого. 😼
