allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Diverse Entlassungen bei Tech Companies
Diverse Tech und Fintech Companies haben in den letzten beiden Wochen Entlassungen angekündigt. Das bisherige negative Highlight war hier für mich Klarna. Um die 10% der Belegschaft – knapp 700 Mitarbeiter – müssen das Unternehmen verlassen.
Das Ganze ist wohl ziemlich wirr abgelaufen, wie man im verlinkten Artikel nachlesen kann.
Weitere Layoffs gab es bei: Kontist, Superhuman, Loom, Curve, Rasa, TomTom, Gorillas und Nuri.
Die meisten Firmen sind gut durch finanziert, drücken aber nun auf den Sparknopf.
Selbst Tesla will nun 10% der Belegschaft entlassen – in zuletzt gehypten Märkten kehrt so langsam wohl die Ernüchterung ein.
Auf layoffs.fyi gibt es eine täglich aktualisierte Liste mit Entlassungen – hier sind dann teilweise öffentliche Google Sheet Dokumente verfügbar, welche betroffene Mitarbeitern und deren Linkedin Profile verlinkt.
Uncurled – Online Buch für Open Source Maintenance
Daniel Stenberg, der Erfinder und Maintainer des cURL Projekts erklärt im verlinkten Online eBook „Uncurled“ alles, was er über den Betrieb und die Wartung eines OpenSource Projekts gelernt hat. Von Lizenzen über Menschen bis zum Projektmanagement, Spenden, Verwaltung von Contributions ist hier für jeden was dabei.
Im Inhaltsverzeichnis findet ihr einen Überblick über die 11 verschiedenen Themengebiete.
Uncurled – everything I know and learned about running and maintaining Open Source projects for three decades.
Sponsored
Managed Hosting für Symfony und Laravel mit „We Manage“
Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Laravel & Symfony Web-Applikationen beim Cloud-Anbieter deiner Wahl.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise diginights.com – ein Online Ticketing System auf Basis von Symfony.
Interessiert? Lerne uns einfach in einem 15 Minuten Video-Call kennen.
Millionen MySQL Server offen im Internet
Wir haben das Jahr 2022 und alles ist sicher? Von Wegen.
Sicherheitsforscher haben ein wenig das Internet gescannt und dabei über 3,6 Millionen öffentlich erreichbare MySQL Instanzen gefunden (Port 3306 ist erreichbar). In Deutschland alleine sind 170.000 Maschinen betroffen.
Man hat die Maschinen nicht auf Sicherheitslücken oder „veraltete“ Pakete geprüft, das könnt ihr dann schön selber machen.
MySQL macht TLS auch über 3306, d.h. das kann auch „sicher“ von statten gehen. Irgendwie fallen mir aber nur wenige Use-Cases ein, wo das überhaupt nötig ist.
Für den Developer Zugriff sollten Jump-Server/VPN Dienste oder ein einfacher SSH Tunnel verwendet werden.
Shodan zeigt mit mir einer Suche nach „port:3306“ über 4 Millionen Ergebnisse. Gleich die ersten Ergebnisse sind ein MySQL 5.7.24 (Release 2018), ein MySQL 5.5.61 (auch 2018) und sogar ein 5.5.12 von 2012 – Happy Jahrzehnt!
Offen im Internet stehen und dann nicht mal patchen, wenn das mal nicht schief geht.
Sicherheitsforscher stoßen weltweit auf 3,6 Millionen exponierte MySQL-Server
GitHub veröffentlicht Update zum April Security Vorfall
Im April veröffentlichte GitHub Details zu einem Security Vorfall mit gestohlenen OAuth Tokens. Dies hat vor allem bei Heroku Usern für Frustration gesorgt.
GitHub hat nun Details zum Vorfall veröffentlicht. Über 100.000 Account Daten wurden bei der Aktion erbeutet – Usernames, Passwort Hashes und E-Mail Adressen. GitHub blockt nun erstmal alle Login Versuche der betroffenen Accounts, vor allem wenn diese kein 2FA aktiviert haben. Weitere Details findet ihr auch bei heise.de.
GitHub: Attackers stole login details of 100K npm user accounts
Healtchecks.io Hosting Setup
Der SaaS Dienst Healthchecks.io bietet einen einfachen Cron Job Monitoring Service an. In einem Blog Post aus dem Februar stellte der Gründer Pēteris Caune ausführliche Details zum Hosting Setup vor. Neben Ubuntu 20.04 Hardware Servern bei Hetzner Online verwendet er Wireguard für die privaten Netze, Netdata für das Monitoring und HaProxy und PostgreSQL für die Auslieferung und Speicherung der Kundendaten. Er beschreibt auch SaaS Tools, die er für die Software selbst einsetzt.
Der Artikel aus dem Februar erregte auf Hacker News vor einigen Tagen etwas Aufmerksamkeit. Die Rückfragen aus HN beantwortet Pēteris nun in einem zweiten, sehr ausführlichen Q&A Artikel. Man sieht hier, dass es nicht immer Kubernetes und oder einen Hyperscaler benötigt, um ein erfolgreiches Business zu starten.
Zur Überraschung ist der Kern von Healtchecks.io OpenSource und kann somit self-hosted betrieben werden.
Healthchecks.io Hosting Setup, 2022 Edition
Video: Mehr Autonomie für Mitarbeiter
Der ehemalige US Navy Captain David Marquet beschreibt in seinem Buch „Turn the Ship“ around bereits im Jahr 2013, wie ein simpler und inspirierender Ansatz zum Thema Führung aussehen kann.
Er beschreibt, wie er als U-Boot Kapitän es geschafft hat, der Mannschaft mehr Autonomie und Verantwortung zu geben. Das Buch ging damals komplett an mir vorbei, wem es genauso ging, schaut euch gerne mal das verlinkte Video an (ca. 8 Minuten) – klingt alles erstmal logisch und einfach.
Silent Meetings für mehr Struktur
Silent Meetings sind ein Konzept für mehr Struktur und Dokumentation in Meetings, die etwas Disziplin erfordern.
Was ist das besondere?
- Es gibt eine Agenda mit einem definierten Ziel
- eine kurze Timeline (20 Minuten lesen und 10 Minuten diskutieren)
- einen Moderator
- ein „pre-read“ Dokument, welches während des Termins parallel von allen Teilnehmern bearbeitet wird. Auch wenn das Dokument „pre-read“ heisst, so soll es erst zu Beginn des Termins von allen Teilnehmern gelesen werden. Dies stellt sicher, dass alle Teilnehmer den gleichen Stand haben und eben auch Zeit zum lesen im Kalender haben.
Während des Termins wird das „pre-read“ dann gelesen und „live“ von allen Teilnehmern kommentiert. Der Moderator schaut sich die Kommentare an und sucht Inhalte heraus, die eine anschließende Diskussion benötigen.
Im weiterführenden Artikel „The Silent Meeting Manifesto“ wird das Konzept sehr ausführlich beschrieben – was haltet ihr davon?
Im Artikel ist ein Bild eines 60 Personen „silent meetings“ integriert.
Ich finde das Konzept recht spannend, scheitern viele Termine doch aktuell bereits an der Agenda oder dem fehlenden Ziel eines Termins.
Everything you always wanted to know about running Silent Meetings but were too afraid to ask
Supply Chain Attacken auf PyPI und PHP Module
Ein türkischer Sicherheitsforscher beschreibt in diesem Medium Artikel, wie er mit vergleichsweise einfachen Methoden diverse PHP und PyPI Module übernehmen konnte. Er konnte teilweise neue Paketversionen veröffentlichen, welche von diversen CI/CD Automatismen automatisch geladen und integriert wurden.
Er hatte dabei keinen Schadcode hinterlassen, sondern nur geprüft, was man damit hätte anstellen können – in Summe wären bei den von ihm untersuchten Paketen über 10 Millionen User betroffen gewesen.
How I hacked CTX and PHPass Modules
StackOverflow Podcast: Managed Kubernetes Service bei Vultr
Episode 443 des StackOverflow Podcasts „The Overflow“ behandelt die Stolperfallen beim Aufbau eines eigenen, managed Kubernetes Services beim Cloud Hoster Vultr.
Die 26 Minuten lange Episode ist ein „Sponsored Podcast“, enthält dennoch interessante Details und Ideen – unter anderem sind während der 2 jährigen Implementierung diverse OpenSource Projekte entstanden, die nun auf GitHub zu finden sind.
Ist euch der Podcast zu lange? Es gibt auch ein Transcript zum Lesen.
Building out a managed Kubernetes service is a bigger job than you think (Ep.443)
OpenSearch 2.0 veröffentlicht
Wer hätte das gedacht: Das OpenSource Team von AWS macht hier tatsächlich Fortschritte und released OpenSearch 2.0 mit folgenden Features:
- Integration von Lucene 9.1 als Search Engine – in Elasticsearch seit 8.2. enthalten
- Alerts auf Dokumenten Ebene möglich
- Neues Notification Plugin
- und vieles mehr.
OpenSearch ist kompatibel mit 7.10 Elasticsearch – zu diesem Zeitpunkt ist der Fork entstanden. Weitere Informationen zur Kompatibilität findet ihr in der FAQ.
OpenSearch 2.0 is now available!
GitLab 15.0 veröffentlicht
Nachdem ich letzte Woche verpasst hatte, nun noch eine Nachzügler News vom Ende Mai: GitLab 15.0 wurde nun released – und ist hoffentlich auf euren Systemen schon live. Der Vollständigkeit halber ein paar Highlights:
- Der WYSIWYG Editor ist nun komplett im Wiki verfügbar – inkl. inline Code Editor, Link und Media Editor
- Die integrierte Suche „Advanced Search“ ist nun OpenSearch kompatibel.
- Interne Notizen sind nun in Issues mit dem „Internal Notes“ Feature verfügbar.
- Initiale Version eines CRM Systems wurde veröffentlicht.
- Das Basic „Container Scanning“ ist nun auch im GitLab Free Tier enthalten.
- Variablen in der CI/CD Pipeline können nun verschachtelt werden – siehe nested CI/CD Variables.
Insgesamt über 40 Verbesserungen finden sich im Release 15.0. Mittlerweile gibt es ein Security Release 15.0.1 – das ist stand heute dann die aktuellste Version.
GitLab 15.0 released with WYSIWYG for Wiki, container scanning in all tiers
Schmunzelecke
Übrigens waren die Fehler bei der Kartenzahlung wohl doch kein Zertifikatsproblem, siehe News bei Golem.
💡 Link Tipps aus der Open Source Welt
URL shortener mit Google Sheets und Cloud Run
Hier ein netter Showcase zum Thema Google Cloud Run. Der in Go geschriebene Link Shortener läuft in Cloud Run und nutzt als „Admin Frontend“ ein Google Sheets Dokument. Die App benötigt nur die Sheet ID und lauscht auf Änderungen in den entsprechenden Spalten.
https://github.com/ahmetb/sheets-url-shortener
EdgeDB – OpenSource graph-relational Datababase
EdgeDB verspricht der Nachfolger von „normalen SQL Datenbanken“ zu werden. Unter der Haube wird die Query Engine von Postgres verwendet, allerdings werden die Daten als Objekt orientiertes Modell beschrieben. EdgeDB beschreibt sich selbst deshalb als „graph-relational database“.
Demos und FAQs könnt ihr auf der schicken EdgeDB Website anschauen und auch das interaktive Tutorial machen.
https://github.com/edgedb/edgedb
fd – User freundliche „find“ alternative
Das Tool fd
ist eine in Rust geschriebene Alternative zu find
. Da es parallel Directories durchsucht und nicht wie find
sequentiell, soll es deutlich schneller sein. Zudem könnt ihr einfach find stranger-things
schreiben anstatt find -iname '*stranger-things*'
.
Auf dem Mac könnt ihr fd einfach über brew installieren (brew install fd)
, für neuere Debian/Ubuntu und Fedora Versionen das OS Package fd-find
installieren.
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: