allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
FĂŒr weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
GitLab geht an die Börse
GitLab plant den IPO und hat nun sein S1-filing bei der amerikanischen Börsenaufsicht SEC eingereicht.
Mit aktuellem starken RĂŒckenwind durch sehr gute finanzielle Werte ist das sicherlich nicht verwunderlich â Machte man in Q2/2020 noch $72 Millionen Umsatz, so waren es in Q2/2021 schon $137 Millionen â fĂŒr Q2/2022 sind dann $233 Millionen Dollar Umsatz geplant. GitLab ist mittlerweile in ĂŒber 65 LĂ€ndern prĂ€sent und hat ĂŒber 1350 Mitarbeiter â die ĂŒbrigens noch immer komplett Remote arbeiten.
Bei HackerNews gibt es mittlerweile eine ausfĂŒhrliche Diskussion zu GitLabs S1 filing und allgemein zu âAll-Remoteâ.
GitLab wird in Zukunft unter dem KĂŒrzel âGTLBâ an der Nasdaq zu finden sein â GlĂŒckwunsch an das Team und alle Mitarbeiter.
techcrunch.com: Inside GitLabâs IPO filing
Pinterest gibt die nĂ€chsten 9 Jahre 3,25 Mrd $ fĂŒr AWS aus
Ăber einen Tweet von Ben Schaechter erreichte mich die Nachricht, dass die Online-Pinnwand Pinterest AWS Credits fĂŒr 9 Jahre im Voraus gebucht hat. Bis 2029 möchte Pinterest fĂŒr mindestens 3,25 Milliarden Dollar Dienste bei AWS einkaufen. Pinterest hat sich verpflichtet, diese Menge abzunehmen oder die Differenz am Ende der Laufzeit zu bezahlen.
Pro Jahr muss Pinterest somit $360 Millionen in AWS Infrastruktur investieren.
Shomik Ghosh analysiert im verlinkten Beitrag die GrĂŒnde hierzu: Durch zunehmende Digitalisierung, gerade in gröĂeren Firmen, seien die Firmen gewillt, mit AWS, Azure und Google auch LangzeitvertrĂ€ge abzuschlieĂen, um sich entsprechende Discounts und VerfĂŒgbarkeiten zu sichern. Zudem geht Shomik darauf ein, dass fĂŒr beide Vertragspartner ein langfristiger Abschluss in vielerlei Hinsicht lohnenswert sein kann, auch wenn ein solcher Vertrag kurzfristig die Marge erstmal verringert.
shomik.substack.com: Margins vs Free Cash Flow
Sponsored
Authentisches Hands-on Cloud Consulting
superluminar ist ein 12-köpfiges, auf AWS spezialisiertes Team, das Kunden wie Fielmann, Immowelt, MOIA sowie Startups auf dem Weg in und durch die Cloud partnerschaftlich begleitet. Neben der strategischen Beratung krempelt superluminar auch selbst die Ărmel hoch und steigt in den Maschinenraum, um mit Unternehmen gemeinsam innovative Produkte und Technologien zu entwickeln: Bei Projektende gehören das Wissen, die FĂ€higkeiten und die Lösung so dem Kunden.
Die superluminar-GrĂŒnder begannen bereits vor mehr als 10 Jahren mit der Arbeit in AWS-Cloud, indem sie fĂŒr Jimdo â einem der erfolgreichsten Startups in Europa â weltweit Millionen von Websites skalierten.Mehr ĂŒber superluminar!
OMIGOD: Azure Agent erlaubt RCE in diversen Azure Diensten
Nach dem âChaosDBâ Debakel bei Microsoft Azure gibt es nun das nĂ€chste, gröĂere Security Problem in der Azure Cloud.
Microsoft installierte in diversen Cloud-Diensten einen Management Agent mit, welcher ĂŒber lĂ€ngere Zeit eine âRemote Code Executionâ ermöglichte.
Die LĂŒcke bestand dank eines auf der Open Management Infrastrcuture (OMI) basierenden Software Agenten â die Security Forscher von WIZ tauften die LĂŒcke passenderweise OMIGOD.
UnglĂŒcklicherweise ist die LĂŒcke wirklich fatal, denn man kann auf Linux VMs Root werden, in dem man einfach den âauth headerâ in einem HTTP Request an den OMI Agent entferntâŠ.
Die CVEs mit Links zur Database bei Microsoft:
- CVE-2021-38647 â Unauthenticated RCE as root (Severity: 9.8)
- CVE-2021-38648 â Privilege Escalation vulnerability (Severity: 7.8)
- CVE-2021-38645 â Privilege Escalation vulnerability (Severity: 7.8)
- CVE-2021-38649 â Privilege Escalation vulnerability (Severity: 7.0)
Microsoft hat einen Patch fĂŒr die OMI Dienste veröffentlicht, dies erfordert natĂŒrlich ein Upgrade auf eurer Seite.
Die PaaS Dienste aktualisiert Microsoft automatisch â ob dies schon komplett erfolgt ist, verschweigt der Beitrag.
Zur Sicherheit könnt ihr die von den OMI Diensten verwendeten Ports auch erstmal komplett sperren (TCP 5985, 5986, and 1270).
Zuerst gesehen hatte ich das Thema bei Kevin Beaumont auf Twitter, hierĂŒber bekam ich die Info zur âChaosDBâ LĂŒcke ebenfalls als erstes mit.
wiz.io: âSecretâ Agent Exposes Azure Customers To Unauthorized Code Execution
âRadical Simplicityâ als Technologie Mantra
Stephan Schmidt, ehemaliger CTO von brands4friends & ebay, ist aktuell als Startup Berater und Interims CTO unterwegs.
Er hat mit âRadical Simplicityâ eine Argumentationskette zur aktuellen Lage in der Software Entwicklung veröffentlicht und wirbt damit fĂŒr eine Reduzierung der KomplexitĂ€t.
Entwickler wĂŒrden es aktuell lieben, âSPAs, Vue/React, Transpiling, Typescript, Babel, Webpack, PureCSS, GraphQL, JSONâ mit Backend Microservices auf Basis von âprotobuf, Kafka, InfluxDB, or NoSQL databasesâ zu bauen. Die entstehende KomplexitĂ€t verlangsamt den Entwicklungsprozess und sei fĂŒr alle ermĂŒdend.
Ăndere man den Fokus hin zu einem simpleren Design, so können sich die Entwickler wieder auf das wesentliche Konzentrieren â das Schreiben von Code, der Business Logik.
Als Beispiel nennt er die Verwendung von PostgreSQL als Datenbank, Volltext Suche, Caching Instanz, Pub/Sub Tool und als Eventstore â anstatt fĂŒr jede FunktionalitĂ€t andere Tools oder PaaS Dienste zu verwenden.
Schaut es euch mal an â in die gleiche Richtung geht ĂŒbrigens die etwas Ă€ltere, aber nicht weniger relevante Bewegung âChoose Boring Technologyâ.
Aus persönlicher Erfahrung kann ich das nur bestĂ€tigen â hĂ€ufig schreibt man dann jahrelang an einer âNeuentwicklungâ, die erstmal nur oder nicht mal den âStatus Quoâ des alten Standes bereitstellt und dem eigentlichen Kunden keinen Mehrwert liefert.
Radical Simplicity in Technology
Einfach & Simpel: Kleiner Server schafft 4,2 Mio Request pro Tag
Passend zum vorigen Thema ĂŒber âRadical Simplicityâ ein einfaches Beispiel ĂŒber einen Performance Test einer simplen Website, die auf einem Server fĂŒr ÂŁ4/MOnat lĂ€uft. Die Generierung der Website als statische HTML Files ermöglicht es, mit 1 CPU und 2 GB RAM ĂŒber 50 Requests pro Sekunde auszuliefern â oder 4,2 Millionen Requests pro Tag.
mark.mcnally.je: My ÂŁ4 a month server can handle 4.2 million requests a day
ProtonMail: Sicherer E-Mail Anbieter doch nicht so sicher
ProtonMail ist ein âSicherer E-Mail-Dienstâ aus der Schweiz, der ĂŒber verschlĂŒsselte E-Mails und eine Ende-zu-Ende VerschlĂŒsselung eine sichere Kommunikation sicherstellen möchte. Das waren jetzt viele Worte mit âsicherâ in einem Satz.
Schlimm, was nun passiert ist:
Die französische Polizei hatte bei EUROPOL einen Antrag eingereicht, die IdentitĂ€t eines franz. Klimaaktivisten festzustellen. Da dieser eine ProtonMail E-Mail Adresse verwendete, landete das Gesuch bei der Schweizer Polizei. Die bestĂ€tigte den Vorgang und reichte den Gesuch bei ProtonMail ein. Rechtlich gesehen ist dies alles sauber â ProtonMail muss sich schlieĂlich an die Schweizer Gesetze halten.
Auch wenn die Kommunikation ĂŒber ProtonMail verschlĂŒsselt erfolgt, so speichert ProtonMail dann doch Stammdaten einer E-Mail unverschlĂŒsselt â die E-Mail des Senders und des EmpfĂ€ngers, die verwendete IP Adresse des Senders, den Betreff und die Sendezeiten. Genau diese können fĂŒr die Identifizierung eines Accounts schon ausreichen â was in diesem Fall auch passiert ist.
TechCrunch hat den Vorfall ebenfalls beleichtet und den ProtonMail CEO âAndy Yenâ dazu befragt â dieser verwies auf die Verwendung des VPN Dienstes âProtonVPNâ hingewiesen, denn in der Schweiz sei es wiederum nicht erlaubt, die IP Adresse eines VPN Users zu loggen.
Es ist also schon möglich, sich weiter zu verstecken als im geschilderten Falle geschehen, man muss sich aber schon etwas mit dem Thema auskennen.
Mailchimp: Kollektive Auszeit fĂŒr alle Mitarbeiter
Mailchimp baut eine SaaS Lösung fĂŒr Newsletter und transaktionsbasierte Mails. Die 1200 Mitarbeiter arbeiten in Atlanta, USA.
WĂ€hrend der Pandemie hatte Mailchimp festgestellt, dass die Mitarbeiter auf Dauer Probleme mit der Isolation, mit âRemote Workâ und mit COVID19 FĂ€llen in Familie und der Belegschaft hatten.
Man entschloss sich deshalb, die Firma zwischen Weihnachten und Neujahr fĂŒr 1 Woche zu. schlieĂen und den Betrieb nur mit einer Notfallbesetzung sicherzustellen. Man muss hierbei bedenken, dass es in den USA in der Regel nicht mehr wie 15-20 bezahlte Urlaubstage gibt, in Deutschland haben wir mit 25-30 Tagen hier schon eine Luxussituation.
Aufgrund des Erfolges im Dezember 2020 entschied man sich fĂŒr eine Wiederholung im Juli 2021 und schloss die Firma zwischen dem 5. und 9. Juli, abermals als âPaid Time Offâ (PTO). ZusĂ€tzlich können die Mitarbeiter sich ab Freitag mittags, 13 Uhr, Zeit fĂŒr eigene Projekte und fĂŒr Weiterbildung nehmen oder sich frĂŒher ins Wochenende verabschieden.
Interessanter Ansatz, schlieĂlich ist die âHeimarbeitâ unter Covid Bedingungen, mit Kindern zu Hause, beide Eltern zu Hause â oder im Single Haushalt â komplett alleine â fĂŒr alle ermĂŒdend und anstrengend.
Die Nachricht ist aus dem Juli und ich wollte sie euch nicht vorenthalten. Mailchimp wurde mittlerweile fĂŒr $12 Milliarden an Intuit verkauft und die GrĂŒnder stehen dafĂŒr massiv in der Kritik. Man wollte die Firma niemals verkaufen (reddit) und lĂ€sst viele Mitarbeiter wĂŒtend und ohne Equity Beteiligung (in den USA und Startups sonst ĂŒblich) zurĂŒck. Da man aufgrund Bootstrapping (Gewachsen aus Umsatz und ohne Venture Capital) keine nennenswerte Investoren beteiligen muss, ist es fĂŒr mich unverstĂ€ndlich, warum man nicht ein Teil des Geldes an die 1200 Mitarbeiter ausschĂŒttet.
hrexecutive.com: Mailchimpâs burnout strategy? Collective PTO, summer hours
Konferenz Tipps fĂŒr den Herbst
Und noch ein paar Konferenz Tipps:
- 4.-6. Oktober 2021: Open Source Automation Days (Kostenlos oder Bezahlen*)
- 5.-7. Oktober 2021: ElasticON Global â ElasticSearch Konferenz (Ebenfalls Freier Zugang)
- 8-10. November 2021: ObservalibityCON von Grafana (Freier Zugang zu allen öffentlichen Sessions)
Auf Twitter kam die Frage auf, was eigentlich âkostenlosâ bei Konferenzen bedeutet.
Hier finde ich den Ansatz der Open Source Automation Days transparent und ehrlich:
Kostenlos = âSie stimmen zu, dass Ihre Kontaktdaten an Veranstalter und Sponsoren weitergegeben werden.â
Alternativ kostet das Ticket fĂŒr die 3 Tage 199⏠ohne die Daten Weitergabe.
Schmunzelecke
Die erste Webcam wurde tatsĂ€chlich entwickelt, um eine Kaffee-Maschine zu beobachten â an der Cambridge University â www.openculture.com
âThis escalator is refusing to escalate. This has been escalated to the engineerâ â twitter.com
Kelly Rowland texted Nelly via Microsoft Excel und wundert sich noch heute ĂŒber die fehlende Antwort â twitter.com
đĄ Link Tipps aus der Open Source Welt
Podman Frontend fĂŒr macOS
In der letzten Ausgabe hatte ich als Docker Desktop Alternative âPodmanâ vorgestellt. Podman fĂŒr macOS ist ein schlankes Frontend fĂŒr Podman fĂŒr macOS. Aktuell könnt ihr die binaries direkt herunterladen und starten, wenn podman ĂŒber Homebrew installiert ist. Support fĂŒr den neuen M1 Chip ist aktuell noch in Arbeit, wie auch die Installation ĂŒber Homebrew selbst.
https://github.com/heyvito/podman-macos
PoW! Captcha als recaptcha Alternative
Captchas sichern Formulare, Logins und andere, gegen âBrute Forceâ Attacken zu sichernde Komponenten eurer Applikation ab.
Meist sind Standard Captchas fĂŒr Bots einfach zu durchschauen, oder im Falle von reCaptcha nicht so einfach mit den Datenschutz Vorgaben zu vereinbaren. Mit dem pow-captcha könnt ihr ein leichtgewichtiges, âProof of Workâ Captcha selber bauen und hosten.
https://git.sequentialread.com/forest/pow-captcha
iOS mit QEMU virtualisieren
Mit diesem QEMU fork könnt ihr iOS virtualisieren und unter KVM starten. Bisher war das nur unter schwierigen UmstĂ€nden oder rechtlich nicht möglich. Der Status ist noch âWork in Progressâ, da man diverse iOS Sicherheitsmechanismen umgehen muss.