Willkommen zu allesnurgecloud.com – Ausgabe #134!
Ivanti und Fortinet
Und auch in dieser Woche gibt es neue Patches für Ivanti VPN Boxen, Fortinet hat sich noch dazu gestellt. Will Dormann hat sich mal angeschaut, was für Software auf so einer Ivanti Box läuft. Die curl Version ist beispielsweise 14 Jahre alt, openssl dann 6 Jahre und das SSH Binary ist ebenfalls 14 Jahre alt. Getoppt wird das Ganze von einer 23 Jahre alten perl Version. Und sowas ist dann „Enterprise“ Software und überall im Einsatz.
Kann man sich nicht ausdenken und auch sonst nirgends erlauben, außer halt auf einer VPN-Box…
Kris hat das ganze Dilemma in einem Blog-Post verarbeitet und zeigt, dass manche der gemachten Fehler eigentlich bei der ordnungsgemäßen Verwendung von Code Scannern gefunden werden sollten.
Happy Bootstrapping Podcast
in Folge 58 von Happy Bootstrapping habe ich diese Woche mit Thomas Grabner von Mailody.de gesprochen. Thomas hat schon während dem Abitur eine Agentur für E-Mail Marketing aufgebaut und beschäftigt heute 20 Vollzeit-Mitarbeitende, die komplett remote als Sparringspartner für erfolgreiche E-Commerce Unternehmen arbeiten.
allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Höhere Fluktuation durch Return-to-Office Mandat?
Immer mehr Unternehmen haben Ihre Mitarbeiter zurück ins Büro beordert. Ein prominenter Fall in Deutschland ist die SAP aus Walldorf – hier läuft aktuell eine Übergangsfrist bis zum Ende April 2024 – ab dann sollen die Mitarbeitenden wieder 3 Tage pro Woche im Büro oder beim Kunden vor Ort arbeiten. Zuletzt hatte der Betriebsrat der SAP interveniert und damit argumentiert, dass positive Jahresergebnis im Home-Office erarbeitet wurde.
In den USA wurde nun eine aktuelle Studie von Gartner veröffentlicht. Hier hatte man 2080 Wissensarbeitende befragt, welchen Einfluss ein „Return to Office“ Mandat auf die Belegschaft haben wird. Vor allem „High Performer“ sehen in einer forcierten Rückkehr ins Büro einen Vertrauensverlust:
High-performers often react to RTO mandates as a signal that their organization doesn’t trust them with the autonomy to make the best choices about how they get their work done. Many of these employees feel that they have proven themselves and maintained high levels of performance throughout the pandemic and remote working.
Zusätzlich zu den High Performern sind vor allem weibliche Angestellte wenig von einer „Return-to-Office“ Politik überzeugt. Für sie im Speziellen ist die Flexibilität des Home-Office viel wert, ob nun bei der Organisation und den Kosten der Kinderbetreuung oder einfach die bessere und flexiblere Integration in den Alltag.
Zudem haben Frauen im Home-Office weniger mit Vorurteilen und Mikroaggression zu tun als im Büro.
Die Gartner Studie kommt zu dem Ergebnis, dass man Mitarbeiter nicht zu einer Rückkehr ins Büro zwingen sollte, und schlägt dafür 4 Maßnahmen vor:
- Motivation für die Rückkehr ins Büro schaffen – durch Umgestaltung der Büros in hybride Büroräume, beibehalten der Autonomie, Kompetenz und der Verbundenheit der Mitarbeiter untereinander
- Anwesenheit pro Jahr festlegen anstatt pro Woche – Untersuchungen von Gartner haben ergeben, dass Mitarbeitende, die eine feste Büro-Anwesenheit pro Jahr vereinbart haben, eine bessere Leistung erbringen, als wenn diese pro Woche vereinbart ist. Das kann ich mir sehr gut vorstellen – rein von der Effizienz von Fläche und Personal macht es auch viel mehr Sinn, 1 Woche ins Büro zu gehen und dann X-Wochen zu Hause zu bleiben. Damit erreicht man auch eher mehr Talente, als mit den 2,3 Tagen Anwesenheit pro Woche.
- Mitgestaltung der RTO Politik – Eigentlich ein No-Brainer – aber man hört kaum was davon, dass die Mitarbeitenden auf den unteren Leveln aktiv in die Mitgestaltung einer neuen Arbeitsgestaltung mitwirken können.
- Transparente Kommunikation der Maßnahmen – Spätestens seit „Start with Why“ von Simon Sinek sollten alle wissen, dass man Änderungen nicht einfach so kommunizieren sollte und dass die Belegschaft vor allem das „Warum?“ beantwortet haben möchte.
Eigentlich bin ich ja kein großer Gartner Fan, aber die Informationen und Empfehlungen fand ich jetzt schlüssig. Mit einem Gartner Account kann man im Bericht zu „Why Return-to-Office Mandates aren’t worth the steep talent risks“ nachlesen.
Unten habe ich die Zusammenfassung der Frankfurter Rundschau zum Thema verlinkt. Wer noch weiterführende Informationen zum Thema hat, kann mir die gerne schicken.
Atlassian: 1,000 Tage „Distributed“ Work
Passend zum obigen Thema haben die Atlassian Gründer bzw. deren Team ein „Lessons Learned“ Guide zu „1,000 Days of Distributed at Atlassian“ veröffentlicht.
Der Report ist auf der verlinkten Landingpage zusammengefasst oder in PDF Version zum anmeldefreien Download verfügbar.
Erst einmal zur Einordnung – das Atlassian HQ steht in Sydney, Australien. Atlassian beschäftigt über 10.000 Mitarbeitende in 13 Ländern. Seit über 1000 Tagen arbeitet man bei Atlassian „distributed“ – remote. Ein paar Zahlen dazu:
- Atlassian hat festgestellt, dass die distributed Teams produktiver arbeiten
- Bringt man die Belegschaft 3-4 pro Jahr zusammen, so hat dies einen positiveren Einfluss auf die Beziehung der MA als ein sporadisches Erscheinen im Büro
- Obwohl die MA es nicht müssen, sind 80 % der Mitarbeitenden einmal pro Quartal in einem Büro anzutreffen
- Job-Angebote seitens Atlassian werden mit 20 % höheren Wahrscheinlichkeit akzeptiert
Der 40-seitige Report ist jedenfalls eine Goldmine an Tipps – beispielsweise, wie man die Produktivität von Teams misst und erhöht.
Auch die Tipps zum Umgang mit Zeit („Treat time as your most valiable asset“) finde ich interessant. Meetings sollten nicht mehr als 30 % der Woche einnehmen, jeder sollte 30-40 % Focus Time pro Woche haben, und das in Blöcken von mindestens 90 Minuten. Für Notifications sollte man sich Zeit blocken und nicht mehr als 20 % der Zeit dafür verwenden. Allgemein sollten Meetings nicht 30 Minuten als kleinste Zeiteinheit haben, manchmal reichen ja auch schon 5 Minuten.
Zum Thema Bürogestaltung gibt es auch ein paar Seiten und auch zum Thema Kultur. Interessant finde ich zudem den Umgang mit asynchroner Kommunikation und Videos, die in Loom erstellt werden, mit deren Hilfe Mitarbeitende dann ein Projekt oder dessen Status auf einer Confluence Page erklären.
Lessons Learned: 1,000 Days of Distributed at Atlassian
Sponsored
Hier könnte Deine Werbung stehen
Du möchtest Deine Firma, angebotene Dienstleistungen & Services oder Dein SaaS Produkt hier im Newsletter vorstellen?
Du suchst neue Mitarbeiter und möchtest diese direkt erreichen?
Erreiche um die 1000 Cloud und Open-Source Enthusiasten direkt per E-Mail, LinkedIn oder im RSS-Feed.
Bei Interesse antworte mir einfach auf diesen Newsletter oder buche direkt einen Slot bei Passionfroot.
Start der OVH „Local Zone“ in Madrid und Brüssel
OVH hat kürzlich den Start der ersten beiden „Local Zone“ Cloud Regionen bekannt gegeben.
Die „Local Zones“ basieren auf dem Technologie Stack von Gridscale – einem deutschen Cloud-Anbieter, den OVH im letzten Jahr gekauft hatte.
Mithilfe der „Local Zone“ kannst du deine On-premise Workload in die „Cloud von nebenan“ umziehen, die, soweit ich das richtig verstanden habe, auch in deinem Rack stehen könnte. Vorteil ist neben der Datenhoheit und der niedrigen Latenz dann zusätzlich, dass die Oberfläche, Tools und APIs von OVH zur Verwaltung nutzen kannst.
Die ersten beiden „Local Zones“ sind nun in Madrid und Brüssel deployt worden – man plant im Jahr 2024 weitere 15 Zonen und bis 2026 sogar mit bis zu 150 Zonen in verschiedenen Regionen. Die ersten beiden Regionen sind noch als „Beta“ getagged und man kann dort bisher nur Compute und Storage beziehen. Da Gridscale aber weitere PaaS Services im Angebot hat, werden diese sicherlich folgen.
Die Vorteile und eine Übersicht über die bisherigen Lösungen findest du auf der „Local Zone“ Landingpage bei OVH.
Spannend, dass man die Integration und die berühmten „Synergieeffekte“ so schnell heben konnte.
Nationales IT-Lagezentrum des BSI eröffnet
In dieser Woche hat das BSI das „Nationale IT-Lagezentrum“ eröffnet. Das Lagezentrum sieht im Teaser Film aus, wie man so ein NOC halt aus den Hollywoodfilmen kennt. Überall Bildschirme, Charts und eine Tagwolke mit „Microsoft“ und „Ransomware“.
Laut der Pressemitteilung beim BSI verfügt das Lagezentrum im Regelbetrieb über 10 Arbeitsplätze, die rund um die Uhr die IT-Sicherheitslage in Deutschland beobachten können. Interessanter Fakt: Man empfängt von den 22 Meldestellen aktuell um die 2800 Meldungen zu IT-Sicherheitsvorfällen pro Jahr. Das sind dann ungefähr 7-8 Meldungen am Tag, die hier verarbeitet werden.
Im Krisenfall könne das neue Lagezentrum mit seiner Infrastruktur über 100 IT-Sicherheitskräfte orchestrieren.
TIL: Es gibt auch einen neuen Plan zur „Cybernation Deutschland“ – eine Initiative des BSI, die für mehr „Bewusstsein für das Thema Cybersicherheit“ sorgen soll, in dem man in Staat, Wirtschaft und Gesellschaft für eine „sichere Digitalisierung sorgen“ will.
BSI eröffnet neues Nationales IT-Lagezentrum
GitButler nun Open Source
Vor einiger Zeit hatte der GitHub Co-Founder Scott Chacon ein neues Projekt gegründet: GitButler.
GitButler ist ein Client, um Git Branches einfach und schnell zu verwalten. GitButler war bisher kostenpflichtig – nun ist der reine Client Open-Source und frei verfügbar.
Interessant ist dabei, dass GitButler sich in der kostenlosen Variante selbst als Git Committer einträgt. Das erinnert ein wenig an „Sent from my iPhone“ Messages App oder an die frühen Zeiten von PayPal und GMail.
Möchte man die Git Message entfernen, so kann man ein „GitButler Supporter“ werden und bezahlt dann einfach $5 pro Monat.
Eine kurze 5 Minuten Demo des Clients findest du hier in diesem YouTube Video.
Flux Entwickler Weaveworks beendet Geschäftstätigkeit
Weaveworks ist die Firma hinter der populären GitOps Suite FluxCD und der Timeseries Database Cortex.
Alexis Richardson, CEO von Weaveworks, hat nun auf LinkedIn bekannt gegeben, dass Weaveworks die „kommerziellen Tätigkeiten einstellen“ wird.
Man habe wohl unter der unbeständigen Marktsituation gelitten und konnte trotz neuer Releases und Verkäufen die Vertriebsaktivitäten nicht so stark steigern, um ein Überleben zu sichern. Eine geplante Finanzierungsrunde ist nun in letzter Minute geplatzt, somit blieb dem Management-Team nichts anderes übrig, als die Reißleine zu ziehen.
However this sales growth was lumpy and our cash position, consequently volatile. We needed a partner or investor for long term growth. Finally a very promising M&A process with a larger company fell through at the 11th hour. And so we decided to shut down.
Diverse Projekte von Weaveworks sind schon in der CNCF untergebracht – allerdings ist die Zukunft trotzdem ungewiss, wenn der größte Contributor wegfällt.
Weaveworks hatte in den letzten Jahren über $61 Millionen eingesammelt und konnte nun gegen die Mitbewerber und den schwankenden Markt nicht bestehen.
Weaveworks wurde 2014 gegründet und schließt somit in seinem 10. Jahr.
LinkedIn: Post von Alexis Richardson
Sudo für Windows verfügbar
Microsoft hat „Sudo for Windows“ veröffentlicht und das Projekt auf GitHub sogar Open Source veröffentlicht.
Sudo kannst du ab „Windows 11 build 26045“ und später verwenden – dazu muss „sudo“ in den Einstellungen von Windows unter „Developer Features“ aktiviert werden.
Über verschiedene Optionen kann sudo
dann so konfiguriert werden, dass mit sudo
gestartete Commands in einem neuen Terminal Fenster öffnen oder inline ausgeführt werden, wie man es von Linux gewohnt ist. Interessanterweise ist der Default unter Windows aber das Öffnen des privilegierten Prozesses in einem neuen Fenster und nicht inline.
Leaky Vessels: Sicherheitslücke in Docker und runc
Rory McNamara, Sicherheitsforscher im Security Team des Container-Scanners Snyk, hat eine interessante Sicherheitslücke im CLI Tool runc entdeckt.
Die als „Leaky Vessels“ getaufte Lücke (CVE-2024-21626) hat es in sich, da sie unter Umständen einen Container Escape auf darunter liegende Host System ermöglicht.
Dazu muss im Container ein fehlerbehaftetes Image geladen oder Dockerfile gebaut werden.
Die Disclosure Timeline und Zusammenarbeit der Projekte ist ebenfalls öffentlich. Schön zu sehen, dass der Prozess auch trotz Weihnachtsfeiertage & Jahreswechsel hier eingehalten wurde und am Ende funktioniert hat.
Das Sicherheitsteam von Snyk hat bei der Analyse noch weitere Escape Lücken entdeckt und eigene Artikel zu 3 Schwachstellen in Buildkit veröffentlicht:
- CVE-2024-23651: Buildkit Mount Cache Race
- CVE-2024-23652: Buildkit Build-time Container Teardown Arbitrary Delete
- CVE-2024-23653: Buildkit GRPC SecurityMode Privilege Check
Bist du kein zahlender Snyk Kunde? Auch da gibt es Abhilfe, das Snyk Team hat 2 Scanner Open-Source veröffentlicht, die betroffene Images ausfindig machen sollten: den runtime-detector für laufende Images und den static-detector für Dockerfiles und Images.
Leaky Vessels: Docker and runc container breakout vulnerabilities (January 2024)
Schmunzelecke
Ja, dieses Internet-of-Things macht auch vor der Zahnbürste kein halt. Die Gefahr?
Na, nicht etwa, dass die nachts einfach so angeht – IoT Geräte wie Zahnbürsten werden mittlerweile für DDoS Attacken verwendet.
Im verlinkten Artikel ist von Lücken in der Java basierten Software die Rede.
Java, auf der Zahnbürste? Wie viel RAM hat die denn?
Danke an Sina fürs Einsenden.
Update: Fortinet hat hier wohl zurückgerudert. Der Artikel hat es über Toms Hardware und Hacker News zu Reddit geschafft. Und von da zu 404media – und die haben tatsächlich mal nachgefragt, was nun eigentlich die Lage der Nation ist – „Man könnte Zahnbürsten nutzen“, heisst es nun im Update von Fortnet dazu:
It appears that due to translations the narrative on this topic has been stretched to the point where hypothetical and actual scenarios are blurred.
Na zum Glück ging es nur um Zahnbürsten!
💡 Link Tipps aus der Open Source Welt
SeaweedFS – Open Source Distributed Filesystem
SeaweedFS kannte ich bisher gar nicht und habe ich bei Stephan auf LinkedIn entdeckt.
Seaweed ist ein Open Source „Distributed filesystem“, das für Blobs, als Object Storage und als Data Lake genutzt werden kann – und das für Milliarden von Files.
Stephan schrieb auf LinkedIn, dass es für Sie eine tolle Alternative für GlusterFS ist – das ja bekanntlich Probleme mit vielen kleinen Files hat. Das ist Architektur bedingt und SeaweedFS scheint hier einiges anders zu machen. Unter anderem arbeitet Seaweed mit Master Servern, die aber automatisch failovern und ansonsten dank Verwendung von GO als Sprache recht schnell und schmal im Overhead sein soll. Alle Features findest du hier in der Übersicht.
Die Filer Komponente kann per FUSE, HTTP, S3, HDFS, WebDAV und Co. angesprochen werden. Zudem gibt es ein Kubernetes CSI Driver – also schon ein ordentliches Featureset.
Auf der GitHub Page von SeaweedFS findest du diverse Vergleiche, unter anderem zu HDFS, GlusterFS, Ceph, MooseFS oder auch zum Object Storage MinIO.
SeaweedFS orientiert sich stark an Facebook’s Haystack Design und dem Blob Storage von Facebook – ich kannte es bisher nicht, finde es aber super spannend.
https://github.com/seaweedfs/seaweedfs
TerraCognita – Terraform Reverse Engineering
TerraCognita kann dir beim Start mit Terraform helfen, oder auch bei der Übernahme eines Projekts.
TerraCognita importiert ein Terraform State File und erzeugt daraus dann Terraform Code – Reverse Engineering für Terraform also. TerraCognita kann bei der Generierung auch Terraform Module erzeugen, das ist dann richtig nice. Als Provider werden aktuell AWS, AzureRM, Google und VMWare vSphere unterstützt.
Ein Demo-Video findest du hier auf GitHub – und hier ein Tutorial zum Einstieg.
Hast du das Tool schon gekannt und mal ausprobiert?
https://github.com/cycloidio/terracognita
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: