allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

458 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address

Diese E-Mail ist bereits registriert.

The security code entered was incorrect

Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

GitLab geht an die Börse

GitLab plant den IPO und hat nun sein S1-filing bei der amerikanischen Börsenaufsicht SEC eingereicht.
Mit aktuellem starken Rückenwind durch sehr gute finanzielle Werte ist das sicherlich nicht verwunderlich – Machte man in Q2/2020 noch $72 Millionen Umsatz, so waren es in Q2/2021 schon $137 Millionen – für Q2/2022 sind dann $233 Millionen Dollar Umsatz geplant. GitLab ist mittlerweile in über 65 Ländern präsent und hat über 1350 Mitarbeiter – die übrigens noch immer komplett Remote arbeiten.
Bei HackerNews gibt es mittlerweile eine ausführliche Diskussion zu GitLabs S1 filing und allgemein zu „All-Remote“.
GitLab wird in Zukunft unter dem Kürzel „GTLB“ an der Nasdaq zu finden sein – Glückwunsch an das Team und alle Mitarbeiter.

techcrunch.com: Inside GitLab’s IPO filing

Pinterest gibt die nächsten 9 Jahre 3,25 Mrd $ für AWS aus

Über einen Tweet von Ben Schaechter erreichte mich die Nachricht, dass die Online-Pinnwand Pinterest AWS Credits für 9 Jahre im Voraus gebucht hat. Bis 2029 möchte Pinterest für mindestens 3,25 Milliarden Dollar Dienste bei AWS einkaufen. Pinterest hat sich verpflichtet, diese Menge abzunehmen oder die Differenz am Ende der Laufzeit zu bezahlen.
Pro Jahr muss Pinterest somit $360 Millionen in AWS Infrastruktur investieren.
Shomik Ghosh analysiert im verlinkten Beitrag die Gründe hierzu: Durch zunehmende Digitalisierung, gerade in größeren Firmen, seien die Firmen gewillt, mit AWS, Azure und Google auch Langzeitverträge abzuschließen, um sich entsprechende Discounts und Verfügbarkeiten zu sichern. Zudem geht Shomik darauf ein, dass für beide Vertragspartner ein langfristiger Abschluss in vielerlei Hinsicht lohnenswert sein kann, auch wenn ein solcher Vertrag kurzfristig die Marge erstmal verringert.

shomik.substack.com: Margins vs Free Cash Flow

OMIGOD: Azure Agent erlaubt RCE in diversen Azure Diensten

Nach dem „ChaosDB“ Debakel bei Microsoft Azure gibt es nun das nächste, größere Security Problem in der Azure Cloud.
Microsoft installierte in diversen Cloud-Diensten einen Management Agent mit, welcher über längere Zeit eine „Remote Code Execution“ ermöglichte.
Die Lücke bestand dank eines auf der Open Management Infrastrcuture (OMI) basierenden Software Agenten – die Security Forscher von WIZ tauften die Lücke passenderweise OMIGOD.
Unglücklicherweise ist die Lücke wirklich fatal, denn man kann auf Linux VMs Root werden, in dem man einfach den „auth header“ in einem HTTP Request an den OMI Agent entfernt….
Die CVEs mit Links zur Database bei Microsoft:

• CVE-2021-38647 – Unauthenticated RCE as root (Severity: 9.8)
• CVE-2021-38648 – Privilege Escalation vulnerability (Severity: 7.8)
• CVE-2021-38645 – Privilege Escalation vulnerability (Severity: 7.8)
• CVE-2021-38649 – Privilege Escalation vulnerability (Severity: 7.0)

Microsoft hat einen Patch für die OMI Dienste veröffentlicht, dies erfordert natürlich ein Upgrade auf eurer Seite.
Die PaaS Dienste aktualisiert Microsoft automatisch – ob dies schon komplett erfolgt ist, verschweigt der Beitrag.
Zur Sicherheit könnt ihr die von den OMI Diensten verwendeten Ports auch erstmal komplett sperren (TCP 5985, 5986, and 1270).
Zuerst gesehen hatte ich das Thema bei Kevin Beaumont auf Twitter, hierüber bekam ich die Info zur „ChaosDB“ Lücke ebenfalls als erstes mit.

wiz.io: “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution

„Radical Simplicity“ als Technologie Mantra

Stephan Schmidt, ehemaliger CTO von brands4friends & ebay, ist aktuell als Startup Berater und Interims CTO unterwegs.
Er hat mit „Radical Simplicity“ eine Argumentationskette zur aktuellen Lage in der Software Entwicklung veröffentlicht und wirbt damit für eine Reduzierung der Komplexität.
Entwickler würden es aktuell lieben, „SPAs, Vue/React, Transpiling, Typescript, Babel, Webpack, PureCSS, GraphQL, JSON“ mit Backend Microservices auf Basis von „protobuf, Kafka, InfluxDB, or NoSQL databases“ zu bauen. Die entstehende Komplexität verlangsamt den Entwicklungsprozess und sei für alle ermüdend.
Ändere man den Fokus hin zu einem simpleren Design, so können sich die Entwickler wieder auf das wesentliche Konzentrieren – das Schreiben von Code, der Business Logik.
Als Beispiel nennt er die Verwendung von PostgreSQL als Datenbank, Volltext Suche, Caching Instanz, Pub/Sub Tool und als Eventstore – anstatt für jede Funktionalität andere Tools oder PaaS Dienste zu verwenden.
Schaut es euch mal an – in die gleiche Richtung geht übrigens die etwas ältere, aber nicht weniger relevante Bewegung „Choose Boring Technology“.
Aus persönlicher Erfahrung kann ich das nur bestätigen – häufig schreibt man dann jahrelang an einer „Neuentwicklung“, die erstmal nur oder nicht mal den „Status Quo“ des alten Standes bereitstellt und dem eigentlichen Kunden keinen Mehrwert liefert.

Radical Simplicity in Technology

Einfach & Simpel: Kleiner Server schafft 4,2 Mio Request pro Tag

Passend zum vorigen Thema über „Radical Simplicity“ ein einfaches Beispiel über einen Performance Test einer simplen Website, die auf einem Server für £4/MOnat läuft. Die Generierung der Website als statische HTML Files ermöglicht es, mit 1 CPU und 2 GB RAM über 50 Requests pro Sekunde auszuliefern – oder 4,2 Millionen Requests pro Tag.

mark.mcnally.je: My £4 a month server can handle 4.2 million requests a day

ProtonMail: Sicherer E-Mail Anbieter doch nicht so sicher

ProtonMail ist ein „Sicherer E-Mail-Dienst“ aus der Schweiz, der über verschlüsselte E-Mails und eine Ende-zu-Ende Verschlüsselung eine sichere Kommunikation sicherstellen möchte. Das waren jetzt viele Worte mit „sicher“ in einem Satz.
Schlimm, was nun passiert ist:
Die französische Polizei hatte bei EUROPOL einen Antrag eingereicht, die Identität eines franz. Klimaaktivisten festzustellen. Da dieser eine ProtonMail E-Mail Adresse verwendete, landete das Gesuch bei der Schweizer Polizei. Die bestätigte den Vorgang und reichte den Gesuch bei ProtonMail ein. Rechtlich gesehen ist dies alles sauber – ProtonMail muss sich schließlich an die Schweizer Gesetze halten.
Auch wenn die Kommunikation über ProtonMail verschlüsselt erfolgt, so speichert ProtonMail dann doch Stammdaten einer E-Mail unverschlüsselt – die E-Mail des Senders und des Empfängers, die verwendete IP Adresse des Senders, den Betreff und die Sendezeiten. Genau diese können für die Identifizierung eines Accounts schon ausreichen – was in diesem Fall auch passiert ist.
TechCrunch hat den Vorfall ebenfalls beleichtet und den ProtonMail CEO „Andy Yen“ dazu befragt – dieser verwies auf die Verwendung des VPN Dienstes „ProtonVPN“ hingewiesen, denn in der Schweiz sei es wiederum nicht erlaubt, die IP Adresse eines VPN Users zu loggen.
Es ist also schon möglich, sich weiter zu verstecken als im geschilderten Falle geschehen, man muss sich aber schon etwas mit dem Thema auskennen.

theregister.com: ProtonMail deletes ‚we don’t log your IP‘ boast from website after French climate activist reportedly arrested

Mailchimp: Kollektive Auszeit für alle Mitarbeiter

Mailchimp baut eine SaaS Lösung für Newsletter und transaktionsbasierte Mails. Die 1200 Mitarbeiter arbeiten in Atlanta, USA.
Während der Pandemie hatte Mailchimp festgestellt, dass die Mitarbeiter auf Dauer Probleme mit der Isolation, mit „Remote Work“ und mit COVID19 Fällen in Familie und der Belegschaft hatten.
Man entschloss sich deshalb, die Firma zwischen Weihnachten und Neujahr für 1 Woche zu. schließen und den Betrieb nur mit einer Notfallbesetzung sicherzustellen. Man muss hierbei bedenken, dass es in den USA in der Regel nicht mehr wie 15-20 bezahlte Urlaubstage gibt, in Deutschland haben wir mit 25-30 Tagen hier schon eine Luxussituation.
Aufgrund des Erfolges im Dezember 2020 entschied man sich für eine Wiederholung im Juli 2021 und schloss die Firma zwischen dem 5. und 9. Juli, abermals als „Paid Time Off“ (PTO). Zusätzlich können die Mitarbeiter sich ab Freitag mittags, 13 Uhr, Zeit für eigene Projekte und für Weiterbildung nehmen oder sich früher ins Wochenende verabschieden.
Interessanter Ansatz, schließlich ist die „Heimarbeit“ unter Covid Bedingungen, mit Kindern zu Hause, beide Eltern zu Hause – oder im Single Haushalt – komplett alleine – für alle ermüdend und anstrengend.

Die Nachricht ist aus dem Juli und ich wollte sie euch nicht vorenthalten. Mailchimp wurde mittlerweile für $12 Milliarden an Intuit verkauft und die Gründer stehen dafür massiv in der Kritik. Man wollte die Firma niemals verkaufen (reddit) und lässt viele Mitarbeiter wütend und ohne Equity Beteiligung (in den USA und Startups sonst üblich) zurück. Da man aufgrund Bootstrapping (Gewachsen aus Umsatz und ohne Venture Capital) keine nennenswerte Investoren beteiligen muss, ist es für mich unverständlich, warum man nicht ein Teil des Geldes an die 1200 Mitarbeiter ausschüttet.

hrexecutive.com: Mailchimp’s burnout strategy? Collective PTO, summer hours

Konferenz Tipps für den Herbst

Und noch ein paar Konferenz Tipps:

• 4.-6. Oktober 2021: Open Source Automation Days (Kostenlos oder Bezahlen*)
• 5.-7. Oktober 2021: ElasticON Global – ElasticSearch Konferenz (Ebenfalls Freier Zugang)
• 8-10. November 2021: ObservalibityCON von Grafana (Freier Zugang zu allen öffentlichen Sessions)

Auf Twitter kam die Frage auf, was eigentlich „kostenlos“ bei Konferenzen bedeutet.
Hier finde ich den Ansatz der Open Source Automation Days transparent und ehrlich:
Kostenlos = „Sie stimmen zu, dass Ihre Kontaktdaten an Veranstalter und Sponsoren weitergegeben werden.“
Alternativ kostet das Ticket für die 3 Tage 199€ ohne die Daten Weitergabe.

Schmunzelecke

Die erste Webcam wurde tatsächlich entwickelt, um eine Kaffee-Maschine zu beobachten – an der Cambridge University – www.openculture.com

„This escalator is refusing to escalate. This has been escalated to the engineer“ – twitter.com

Kelly Rowland texted Nelly via Microsoft Excel und wundert sich noch heute über die fehlende Antwort – twitter.com

💡 Link Tipps aus der Open Source Welt

Podman Frontend für macOS

In der letzten Ausgabe hatte ich als Docker Desktop Alternative „Podman“ vorgestellt. Podman für macOS ist ein schlankes Frontend für Podman für macOS. Aktuell könnt ihr die binaries direkt herunterladen und starten, wenn podman über Homebrew installiert ist. Support für den neuen M1 Chip ist aktuell noch in Arbeit, wie auch die Installation über Homebrew selbst.

https://github.com/heyvito/podman-macos

PoW! Captcha als recaptcha Alternative

Captchas sichern Formulare, Logins und andere, gegen „Brute Force“ Attacken zu sichernde Komponenten eurer Applikation ab.
Meist sind Standard Captchas für Bots einfach zu durchschauen, oder im Falle von reCaptcha nicht so einfach mit den Datenschutz Vorgaben zu vereinbaren. Mit dem pow-captcha könnt ihr ein leichtgewichtiges, „Proof of Work“ Captcha selber bauen und hosten.

https://git.sequentialread.com/forest/pow-captcha

iOS mit QEMU virtualisieren

Mit diesem QEMU fork könnt ihr iOS virtualisieren und unter KVM starten. Bisher war das nur unter schwierigen Umständen oder rechtlich nicht möglich. Der Status ist noch „Work in Progress“, da man diverse iOS Sicherheitsmechanismen umgehen muss.

https://github.com/alephsecurity/xnu-qemu-arm64