allesnurgecloud #35 – GitLab IPO, Pinterest zahlt 3,25 Mrd$ an AWS, Azure LĂŒcke OMIGOD, Radical Simplicity und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
FĂŒr weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

458 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank fĂŒr Deine Anmeldung - bitte den Opt-In bestĂ€tigen.

GitLab geht an die Börse

GitLab plant den IPO und hat nun sein S1-filing bei der amerikanischen Börsenaufsicht SEC eingereicht.
Mit aktuellem starken RĂŒckenwind durch sehr gute finanzielle Werte ist das sicherlich nicht verwunderlich – Machte man in Q2/2020 noch $72 Millionen Umsatz, so waren es in Q2/2021 schon $137 Millionen – fĂŒr Q2/2022 sind dann $233 Millionen Dollar Umsatz geplant. GitLab ist mittlerweile in ĂŒber 65 LĂ€ndern prĂ€sent und hat ĂŒber 1350 Mitarbeiter – die ĂŒbrigens noch immer komplett Remote arbeiten.
Bei HackerNews gibt es mittlerweile eine ausfĂŒhrliche Diskussion zu GitLabs S1 filing und allgemein zu „All-Remote“.
GitLab wird in Zukunft unter dem KĂŒrzel „GTLB“ an der Nasdaq zu finden sein – GlĂŒckwunsch an das Team und alle Mitarbeiter.

techcrunch.com: Inside GitLab’s IPO filing

Pinterest gibt die nĂ€chsten 9 Jahre 3,25 Mrd $ fĂŒr AWS aus

Über einen Tweet von Ben Schaechter erreichte mich die Nachricht, dass die Online-Pinnwand Pinterest AWS Credits fĂŒr 9 Jahre im Voraus gebucht hat. Bis 2029 möchte Pinterest fĂŒr mindestens 3,25 Milliarden Dollar Dienste bei AWS einkaufen. Pinterest hat sich verpflichtet, diese Menge abzunehmen oder die Differenz am Ende der Laufzeit zu bezahlen.
Pro Jahr muss Pinterest somit $360 Millionen in AWS Infrastruktur investieren.
Shomik Ghosh analysiert im verlinkten Beitrag die GrĂŒnde hierzu: Durch zunehmende Digitalisierung, gerade in grĂ¶ĂŸeren Firmen, seien die Firmen gewillt, mit AWS, Azure und Google auch LangzeitvertrĂ€ge abzuschließen, um sich entsprechende Discounts und VerfĂŒgbarkeiten zu sichern. Zudem geht Shomik darauf ein, dass fĂŒr beide Vertragspartner ein langfristiger Abschluss in vielerlei Hinsicht lohnenswert sein kann, auch wenn ein solcher Vertrag kurzfristig die Marge erstmal verringert.

shomik.substack.com: Margins vs Free Cash Flow

Sponsored

Authentisches Hands-on Cloud Consulting

superluminar ist ein 12-köpfiges, auf AWS spezialisiertes Team, das Kunden wie Fielmann, Immowelt, MOIA sowie Startups auf dem Weg in und durch die Cloud partnerschaftlich begleitet. Neben der strategischen Beratung krempelt superluminar auch selbst die Ärmel hoch und steigt in den Maschinenraum, um mit Unternehmen gemeinsam innovative Produkte und Technologien zu entwickeln: Bei Projektende gehören das Wissen, die FĂ€higkeiten und die Lösung so dem Kunden.

Die superluminar-GrĂŒnder begannen bereits vor mehr als 10 Jahren mit der Arbeit in AWS-Cloud, indem sie fĂŒr Jimdo – einem der erfolgreichsten Startups in Europa – weltweit Millionen von Websites skalierten.Mehr ĂŒber superluminar!

OMIGOD: Azure Agent erlaubt RCE in diversen Azure Diensten

Nach dem â€žChaosDB“ Debakel bei Microsoft Azure gibt es nun das nĂ€chste, grĂ¶ĂŸere Security Problem in der Azure Cloud.
Microsoft installierte in diversen Cloud-Diensten einen Management Agent mit, welcher ĂŒber lĂ€ngere Zeit eine „Remote Code Execution“ ermöglichte.
Die LĂŒcke bestand dank eines auf der Open Management Infrastrcuture (OMI) basierenden Software Agenten – die Security Forscher von WIZ tauften die LĂŒcke passenderweise OMIGOD.
UnglĂŒcklicherweise ist die LĂŒcke wirklich fatal, denn man kann auf Linux VMs Root werden, in dem man einfach den „auth header“ in einem HTTP Request an den OMI Agent entfernt
.
Die CVEs mit Links zur Database bei Microsoft:

  • CVE-2021-38647 â€“ Unauthenticated RCE as root (Severity: 9.8)
  • CVE-2021-38648 â€“ Privilege Escalation vulnerability (Severity: 7.8)
  • CVE-2021-38645 â€“ Privilege Escalation vulnerability (Severity: 7.8)
  • CVE-2021-38649 â€“ Privilege Escalation vulnerability (Severity: 7.0)

Microsoft hat einen Patch fĂŒr die OMI Dienste veröffentlicht, dies erfordert natĂŒrlich ein Upgrade auf eurer Seite.
Die PaaS Dienste aktualisiert Microsoft automatisch – ob dies schon komplett erfolgt ist, verschweigt der Beitrag.
Zur Sicherheit könnt ihr die von den OMI Diensten verwendeten Ports auch erstmal komplett sperren (TCP 5985, 5986, and 1270).
Zuerst gesehen hatte ich das Thema bei Kevin Beaumont auf Twitter, hierĂŒber bekam ich die Info zur „ChaosDB“ LĂŒcke ebenfalls als erstes mit.

wiz.io: “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution

„Radical Simplicity“ als Technologie Mantra

Stephan Schmidt, ehemaliger CTO von brands4friends & ebay, ist aktuell als Startup Berater und Interims CTO unterwegs.
Er hat mit „Radical Simplicity“ eine Argumentationskette zur aktuellen Lage in der Software Entwicklung veröffentlicht und wirbt damit fĂŒr eine Reduzierung der KomplexitĂ€t.
Entwickler wĂŒrden es aktuell lieben, „SPAs, Vue/React, Transpiling, Typescript, Babel, Webpack, PureCSS, GraphQL, JSON“ mit Backend Microservices auf Basis von „protobuf, Kafka, InfluxDB, or NoSQL databases“ zu bauen. Die entstehende KomplexitĂ€t verlangsamt den Entwicklungsprozess und sei fĂŒr alle ermĂŒdend.
Ändere man den Fokus hin zu einem simpleren Design, so können sich die Entwickler wieder auf das wesentliche Konzentrieren – das Schreiben von Code, der Business Logik.
Als Beispiel nennt er die Verwendung von PostgreSQL als Datenbank, Volltext Suche, Caching Instanz, Pub/Sub Tool und als Eventstore – anstatt fĂŒr jede FunktionalitĂ€t andere Tools oder PaaS Dienste zu verwenden.
Schaut es euch mal an – in die gleiche Richtung geht ĂŒbrigens die etwas Ă€ltere, aber nicht weniger relevante Bewegung „Choose Boring Technology“.
Aus persönlicher Erfahrung kann ich das nur bestĂ€tigen – hĂ€ufig schreibt man dann jahrelang an einer „Neuentwicklung“, die erstmal nur oder nicht mal den „Status Quo“ des alten Standes bereitstellt und dem eigentlichen Kunden keinen Mehrwert liefert.

Radical Simplicity in Technology

Einfach & Simpel: Kleiner Server schafft 4,2 Mio Request pro Tag

Passend zum vorigen Thema ĂŒber „Radical Simplicity“ ein einfaches Beispiel ĂŒber einen Performance Test einer simplen Website, die auf einem Server fĂŒr ÂŁ4/MOnat lĂ€uft. Die Generierung der Website als statische HTML Files ermöglicht es, mit 1 CPU und 2 GB RAM ĂŒber 50 Requests pro Sekunde auszuliefern – oder 4,2 Millionen Requests pro Tag.

mark.mcnally.je: My ÂŁ4 a month server can handle 4.2 million requests a day

ProtonMail: Sicherer E-Mail Anbieter doch nicht so sicher

ProtonMail ist ein „Sicherer E-Mail-Dienst“ aus der Schweiz, der ĂŒber verschlĂŒsselte E-Mails und eine Ende-zu-Ende VerschlĂŒsselung eine sichere Kommunikation sicherstellen möchte. Das waren jetzt viele Worte mit „sicher“ in einem Satz.
Schlimm, was nun passiert ist:
Die französische Polizei hatte bei EUROPOL einen Antrag eingereicht, die IdentitĂ€t eines franz. Klimaaktivisten festzustellen. Da dieser eine ProtonMail E-Mail Adresse verwendete, landete das Gesuch bei der Schweizer Polizei. Die bestĂ€tigte den Vorgang und reichte den Gesuch bei ProtonMail ein. Rechtlich gesehen ist dies alles sauber – ProtonMail muss sich schließlich an die Schweizer Gesetze halten.
Auch wenn die Kommunikation ĂŒber ProtonMail verschlĂŒsselt erfolgt, so speichert ProtonMail dann doch Stammdaten einer E-Mail unverschlĂŒsselt – die E-Mail des Senders und des EmpfĂ€ngers, die verwendete IP Adresse des Senders, den Betreff und die Sendezeiten. Genau diese können fĂŒr die Identifizierung eines Accounts schon ausreichen – was in diesem Fall auch passiert ist.
TechCrunch hat den Vorfall ebenfalls beleichtet und den ProtonMail CEO „Andy Yen“ dazu befragt – dieser verwies auf die Verwendung des VPN Dienstes „ProtonVPN“ hingewiesen, denn in der Schweiz sei es wiederum nicht erlaubt, die IP Adresse eines VPN Users zu loggen.
Es ist also schon möglich, sich weiter zu verstecken als im geschilderten Falle geschehen, man muss sich aber schon etwas mit dem Thema auskennen.

theregister.com: ProtonMail deletes ‚we don’t log your IP‘ boast from website after French climate activist reportedly arrested

Mailchimp: Kollektive Auszeit fĂŒr alle Mitarbeiter

Mailchimp baut eine SaaS Lösung fĂŒr Newsletter und transaktionsbasierte Mails. Die 1200 Mitarbeiter arbeiten in Atlanta, USA.
WĂ€hrend der Pandemie hatte Mailchimp festgestellt, dass die Mitarbeiter auf Dauer Probleme mit der Isolation, mit „Remote Work“ und mit COVID19 FĂ€llen in Familie und der Belegschaft hatten.
Man entschloss sich deshalb, die Firma zwischen Weihnachten und Neujahr fĂŒr 1 Woche zu. schließen und den Betrieb nur mit einer Notfallbesetzung sicherzustellen. Man muss hierbei bedenken, dass es in den USA in der Regel nicht mehr wie 15-20 bezahlte Urlaubstage gibt, in Deutschland haben wir mit 25-30 Tagen hier schon eine Luxussituation.
Aufgrund des Erfolges im Dezember 2020 entschied man sich fĂŒr eine Wiederholung im Juli 2021 und schloss die Firma zwischen dem 5. und 9. Juli, abermals als „Paid Time Off“ (PTO). ZusĂ€tzlich können die Mitarbeiter sich ab Freitag mittags, 13 Uhr, Zeit fĂŒr eigene Projekte und fĂŒr Weiterbildung nehmen oder sich frĂŒher ins Wochenende verabschieden.
Interessanter Ansatz, schließlich ist die „Heimarbeit“ unter Covid Bedingungen, mit Kindern zu Hause, beide Eltern zu Hause – oder im Single Haushalt – komplett alleine – fĂŒr alle ermĂŒdend und anstrengend.

Die Nachricht ist aus dem Juli und ich wollte sie euch nicht vorenthalten. Mailchimp wurde mittlerweile fĂŒr $12 Milliarden an Intuit verkauft und die GrĂŒnder stehen dafĂŒr massiv in der Kritik. Man wollte die Firma niemals verkaufen (reddit) und lĂ€sst viele Mitarbeiter wĂŒtend und ohne Equity Beteiligung (in den USA und Startups sonst ĂŒblich) zurĂŒck. Da man aufgrund Bootstrapping (Gewachsen aus Umsatz und ohne Venture Capital) keine nennenswerte Investoren beteiligen muss, ist es fĂŒr mich unverstĂ€ndlich, warum man nicht ein Teil des Geldes an die 1200 Mitarbeiter ausschĂŒttet.

hrexecutive.com: Mailchimp’s burnout strategy? Collective PTO, summer hours

Konferenz Tipps fĂŒr den Herbst

Und noch ein paar Konferenz Tipps:

Auf Twitter kam die Frage auf, was eigentlich „kostenlos“ bei Konferenzen bedeutet.
Hier finde ich den Ansatz der Open Source Automation Days transparent und ehrlich:
Kostenlos = „Sie stimmen zu, dass Ihre Kontaktdaten an Veranstalter und Sponsoren weitergegeben werden.“
Alternativ kostet das Ticket fĂŒr die 3 Tage 199€ ohne die Daten Weitergabe.

Schmunzelecke

Die erste Webcam wurde tatsĂ€chlich entwickelt, um eine Kaffee-Maschine zu beobachten – an der Cambridge University – www.openculture.com

„This escalator is refusing to escalate. This has been escalated to the engineer“ – twitter.com

Kelly Rowland texted Nelly via Microsoft Excel und wundert sich noch heute ĂŒber die fehlende Antwort – twitter.com

💡 Link Tipps aus der Open Source Welt

Podman Frontend fĂŒr macOS

In der letzten Ausgabe hatte ich als Docker Desktop Alternative „Podman“ vorgestellt. Podman fĂŒr macOS ist ein schlankes Frontend fĂŒr Podman fĂŒr macOS. Aktuell könnt ihr die binaries direkt herunterladen und starten, wenn podman ĂŒber Homebrew installiert ist. Support fĂŒr den neuen M1 Chip ist aktuell noch in Arbeit, wie auch die Installation ĂŒber Homebrew selbst.

https://github.com/heyvito/podman-macos

PoW! Captcha als recaptcha Alternative

Captchas sichern Formulare, Logins und andere, gegen „Brute Force“ Attacken zu sichernde Komponenten eurer Applikation ab.
Meist sind Standard Captchas fĂŒr Bots einfach zu durchschauen, oder im Falle von reCaptcha nicht so einfach mit den Datenschutz Vorgaben zu vereinbaren. Mit dem pow-captcha könnt ihr ein leichtgewichtiges, „Proof of Work“ Captcha selber bauen und hosten.

https://git.sequentialread.com/forest/pow-captcha

iOS mit QEMU virtualisieren

Mit diesem QEMU fork könnt ihr iOS virtualisieren und unter KVM starten. Bisher war das nur unter schwierigen UmstĂ€nden oder rechtlich nicht möglich. Der Status ist noch „Work in Progress“, da man diverse iOS Sicherheitsmechanismen umgehen muss.

https://github.com/alephsecurity/xnu-qemu-arm64

0

Share

By About
Abonnieren
Benachrichtige mich bei
guest

0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2023 allesnurgecloud.com
0
Would love your thoughts, please comment.x