Willkommen zu allesnurgecloud.com – Ausgabe #148!
Diese Woche fand die Auswahl der Themen etwas schwer – einiges wollte ich aufgrund der zeitkritischen Themen unbedingt dabei haben, wie beispielsweise die polyfill Supply Chain Problematik. Und die Ausgabe enthält etwas mehr Themen, die ich dafür kürzer vorstelle.
Nun gut, gerne kannst Du meine Arbeit nun auf Patreon supporten, mir ein Bier ausgeben oder mal auf meiner Amazon-Wunschliste vorbeischauen – Ich freu mich aber auch wie immer über jegliches Feedback zum Newsletter.
Happy Bootstrapping Podcast
In dieser Woche geht es in Folge 77 um „Digitalisierung im Mittelstand“ – dafür habe ich mit Christian Kirsch, dem Geschäftsführer der Passion4it GmbH gesprochen. Ich hab im Newsletter ja häufig sehr moderne und auch Hype Themen – er hingegen trifft noch auf Firmen, die ein Fax „produktiv“ verwenden. Das fand ich ganz interessant, hier mal die Praxis zu hören. Aber auch seine Einstellung zum Unternehmertum finde ich klasse – beispielsweise soll seine Firma nicht größer als 10 Mitarbeitende werden.
allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Ergebnisse zur „State of Teams 2024“ Umfrage von Atlassian
Im Blog von Atlassian findet sich eine aktuelle Studie zur Zusammenarbeit in Teams – man hat dazu über 5000 Wissenarbeiter und 100 Fortune 500 Führungskräfte befragt. Außerdem hat man sich an den Daten der Atlassian Cloud bedient – 1 Million Atlassian User und über 24 Millionen Jira Tickets.
Im Schnitt sind die Angestellten in der Umfrage 34 Jahre alt, 60 % arbeiten bei kleineren Firmen und im Mittelstand, 40 % arbeiten bei großen Enterprise Companies. Die 100 Fortune 500 Führungskräften sind im Schnitt 51 Jahre alt und zum Großteil männlich (87 %).
Was kam aber nun bei der Umfrage raus?
In Kürze: wir sollten wieder mehr arbeiten, anstatt nur über die Arbeit zu reden:
Teams are busier than ever, but accomplishing less.
Our data shows knowledge workers spend so much time planning and talking about work that it prevents them from actually doing work that matters.
- 93 % der Führungskräfte gab an, dass Teams das gleiche Arbeitsergebnis in der Hälfte der Zeit produzieren könnten, würden sie doch nur effizienter zusammenarbeiten
- nur 24 % der Managerinnen gab ab, dass die Teams kritische Aufgaben zu erledigen haben
Warum machen die Teams keine wichtige („mission critical“) Arbeit?
- 64 % der Befragten gaben an, dass ihre Teams ständig in eine andere Richtung gezerrt werden
- 70 % gaben an, dass Ziele leichter erreicht werden könnten, wenn es denn weniger & spezifischere Ziele gäbe
- 65 % antworteten, es wäre wichtiger, schnell auf Chat und E-Mail zu antworten, anstatt an langfristigen Themen zu arbeiten
- 50 % meinen, sie würden viel Zeit in unnötigen Meetings verbrauchen
Dann gibt es vielerorts Probleme mit dem Wissenstransfer:
- 55 % gaben an, dass sie nötige Informationen häufig nicht auffinden können
- 50 % meldeten zurück, dass sie später im Projekt festgestellt haben, dass ein anderes Team am gleichen Thema arbeite
- 56 % sind überzeugt, dass unterschiedliche Arbeitsweisen in der Planung und Ausführung eine Zusammenarbeit verhindern
Bei AI sind sich alle einig, dass man das in Zukunft braucht (63 % der Mitarbeitenden und 79 % der Führungskräfte) – aber 50 % nutzen AI nicht mal auf wöchentlicher Basis.
Atlassian gibt im Blog nun viele Tipps, wie man diesen Themen entgegenwirken kann – man sollte klare Ziele haben und diese auch transparent machen. Die Ziele sollten sich auch in der Priorität im Kalender widerspiegeln. Meetings kann man besser durchführen, in dem man durch eine „Meeting-Seite“ führt – natürlich im Confluence – geht aber auch mit anderen Tools.
Spannend finde ich wie immer den asynchronen Part darin – Atlassian hat diverse Front-Beschallungs-Termine durch ein Loom Video ersetzt und dadurch über 5000 Stunden an neuer „Fokus Time“ geschaffen.
Supply Chain Attacke über beliebte Polyfill Javascript Bibliothek
Polyfill ist eine recht populäre Javascript Bibliothek, die vor allem dafür genutzt wird, die Kompatibilität moderner Sites mit älteren Browsern sicherzustellen.
Jedenfalls hat im Februar eine chinesische Firma die Domain samt GitHub Account vom ursprünglichen Betreiber gekauft und nun über eine Sub-Domain namens „cdn.polyfill.io“ Malware ausgeliefert. Das ist in sofern bedenklich, dass wenn man die JS Bibliothek über die URL eingebunden hatte, man nun einfach „zusätzliche Funktionen“ über die ursprüngliche Domain bekommt. Konkret nutzte man unter anderem eine Fake Google Analytics URL ( www.googie-anaiytics.com), um Redirects zu Gambling Seiten auszuliefern. Polyfill war sehr beliebt und unter anderem beim World Economic Forum oder bei der digitalen Bibliothek JSTOR im Einsatz.
Im Polyfill GitHub Account gibt es diverse Issues zum Thema, die meisten wurden gelöscht – im Web Archive kann man aber noch verfolgen, was die User herausgefunden bzw. was der neue Betreiber alles gelöscht hat.
Andrew Betts, der ursprüngliche Autor von Polyfill, hatte bereits im Februar dazu aufgerufen, den Service nicht mehr zu nutzen. Er schreibt, dass ihm die Domain nicht gehört hatte und er somit keinen Einfluss auf den Verkauf habe.
Andrew arbeitet mittlerweile beim CDN Provider Fastly, dort hat man nun schnell reagiert und die Bibliothek geforked – mitsamt eigenem und kostenlosen Angebot. Cloudflare hat ebenfalls schnell reagiert und ersetzt über einen automatisierten Rewrite Service „unsichere Javascript libraries“ – als ersten Dienst listet man dort polyfill.io.
Die Frage ist natürlich, ob man Cloudflare und Fastly mehr vertrauen sollte – am Besten sollte man, wenn möglich, ganz auf den Einsatz solcher Bibliotheken verzichten oder sie selbst hosten und von der eigenen Domain referenzieren.
Polyfill supply chain attack hits 100K+ sites
Sponsored
8gears Container Registry
Container Images unterscheiden sich deutlich von anderen Artefakten hinsichtlich ihrer ständigen Verfügbarkeit.
Im Gegensatz zu NPM oder JAR Artefakte müssen Container Images für den operativen Betrieb der Anwendung durchgehend verfügbar sein. Auch sollte die Registry nicht auf den gleichen Clustern laufen wie die Anwendungen, um den MTTR (mean time to recovery) möglichst kurzzuhalten. Selbstverständlich sollte die Registry hochverfügbar ausgelegt werden, mit ansprechenden Datenbanken und Buckets.
Wenn es bloß jemanden gäbe, der das Ganze für einen übernehmen könnte?
Die 8gears Container Registry ist ein Harbor-basierte Container-Registry Service. Angeboten und betrieben von Harbor Projektbetreuern und Mitwirkenden.
Hochverfügbar in verschiedenen EU Datenzentren ganz in deiner Nähe.
Google und Unisuper Incident
Über die Abschaltung/Löschung des Google Cloud Accounts des australischen Pensions-Fonds UniSuper hatte ich im Mai berichtet.
In einem Blog Eintrag lässt Google nun die Hosen runter und erklärt, wie es dazu kommen konnte:
During the initial deployment of a Google Cloud VMware Engine (GCVE) Private Cloud for the customer using an internal tool, there was an inadvertent misconfiguration of the GCVE service by Google operators due to leaving a parameter blank. This had the unintended and then unknown consequence of defaulting the customer’s GCVE Private Cloud to a fixed term, with automatic deletion at the end of that period.
Im Deployment des Accounts, durchgeführt durch „Google Operators“, lies man aus Versehen einen wichtigen Parameter leer, welcher dann am Ende in einem automatisierten Prozess dazu führte, dass der Account gelöscht wurde. Hat da jemand vergessen, einfach die „Customer ID“. zu setzen, oder wie?
Ah nein, später im Beitrag wird erklärt, dass die Account-Laufzeit leer gelassen wurde, diese wurde dann später mit einem Default gefüllt – 1 Jahr:
As a result of the blank parameter, the system assigned a then unknown default fixed 1 year term value for this parameter.
After the end of the system-assigned 1 year period, the customer’s GCVE Private Cloud was deleted.
Ok, das erklärt es natürlich. Darf natürlich nicht passieren, passiert aber, da Menschen Fehler machen.
Glück für Google war, dass UniSuper eine 3rd Party Backup Software nutzte, mit deren Hilfe und den nicht betroffenen Daten im Google Cloud Storage konnte der Account wieder hergestellt werden. Laut den Angaben im Google Blog hat dies aber mehrere Tage und den 24×7 Einsatz diverser Teams gedauert.
Google listet dann diverse Verbesserungen, die sicherstellen sollen, dass so etwas nicht mehr passiert. Beeindruckend, wie transparent man mit dem Vorgang umgeht und wie offen man zumindest scheinbar darstellt, was hier alles schief gelaufen ist. Kann natürlich immer noch mehr Themen geben, die hier nicht genannt werden, aber von der Transparenz können sich andere eine Scheibe abschneiden.
Mal schauen, ob die Vorgehensweise für UniSuper ausreicht, um Google Cloud Kunde zu bleiben.
Sharing details on a recent incident impacting one of our customers
Hetzner GPU Performance im Vergleich
Arvid Kahl ist Bootstrapper, Content Creator und Autor. Seit einiger Zeit baut er an einer Podcast Monitoring Plattform namens Podscan, welche dich beispielsweise bei Nennung deiner Marke oder deines Names alarmiert.
Dies ist möglich, da er sämtliche englischsprachigen Podcasts transkribiert und in einer Volltext-Suche indiziert. Aktuell hat er bei Podscan über 7,5 Millionen Podcasts indiziert, täglich kommen über 10.000 Stück dazu.
Wie macht er das? Natürlich mit einem lokalen LLM und GPUs. Bisher hat er dies auf den populären Enterprise Karten von Nvidia gemacht. Nun hat er festgestellt, dass es für seinen Use Case mit Commodity Karten von Nvidia einfacher geht – in Zahlen in Transkribierten Podcast Minuten pro $ Kosten
- Nvidia Quad RTX6000 – 3360 Minuten pro $
- Nvidia RTX4000 – 10.100 Minuten pro $
- Nvidia A16 – 1339 Minuten pro $
- Nvidia H100 – 1438 Minuten pro $
- Nvidia A10 – 2605 Minuten pro $
Der Use-Case ist natürlich speziell – zeigt aber, dass sich auch hier der Vergleich lohnt. Die Modelle für das Transkribieren sind kleiner und passen gut in den kleineren RAM der RTX4000 GPU (20GB).
Er nutzt nun GEX44 Server bei Hetzner (ab 184€/Monat) und spart durch die Summa an Servern nun laut eigenen Angaben über 8000$ pro Monat ein und reduziert seine GPU Hosting Kosten von über 16.000 $ auf unter 8.000 $.
Arvid war in Folge 9 von „Happy Bootstrapping“ zu Gast und kommt bald wieder in meinen Podcast – hast du Fragen an ihn, zum Produkt oder der GPU Nutzung? Gerne einfach per Mail durchschicken.
Neue AMD MI300X GPU
Passend zur GPU Performance oben und zur aktuellen Dominanz von NVIDIA im GPU Bereich gibt es eine erfrischende Nachricht aus dem Hause AMD. Die Radeon Instinct MI300X macht Hoffnung, dass der Markt in Zukunft etwas mehr in Bewegung kommt.
Die MI300X ist ein wahres Monster – über 192GB an DRAM und über 5,3 TB/s Bandbreite sprechen für sich. In den Benchmarks liegt die AMD Karte teilweise ein vielfaches vor der aktuellen NVIDIA H100, bei der Machine Learning Inference beträgt der Vorsprung aber nur rund 16 %.
Der Artikel listet ausführlich diverse Benchmarks und nennt am Ende ein wichtiges Detail – die Software. NVIDIA hat aktuell so eine Durchdringung, dass sämtlichen lokalen Modelle über die CUDA Treiber zuerst für NVIDIA released und angepasst werden.
Es ist heute recht leicht, ein lokales Modell über Docker auf einem NVIDIA Chip laufen zu lassen. Ob AMD hier überhaupt eine Chance hat, eine ähnliche Durchdringung zu Erreichen – das wird vermutlich nicht alleine mit den Hardware Specs entschieden, sondern vor allem im Ökosystem drum herum.
Admin löscht 180 VMs nach Kündigung
In Indien wurde ein Admin zu 2 Jahren und 8 Monaten Haft verurteilt, da er über 180 virtuelle Server bei seinem Ex-Arbeitgeber gelöscht hatte.
Er wurde im November 2022 entlassen und hat im Januar 2023 angefangen, ein Skript zu erstellen, welches dann im März 2023 finalisiert und ausgeführt wurde.
Sein Arbeitgeber beziffert den Schaden vor Gericht auf 678.000 $ – nun gut. Ich frag mich jetzt ja eher, wie man ein halbes Jahr später noch Zugriff auf solche Systeme haben kann? Klar, das war wohl ein Testsystem, aber in Summe trifft das Unternehmen ja mal mindestens eine Teilschuld.
Ob die Veröffentlichung dem Unternehmen des Vorfalls durch ein Gerichtsverfahren nicht eher schadet? Dass so eine Peinlichkeit dann publik wird, schafft nicht gerade Vertrauen im Umgang mit Kundendaten.
Wütender Ex-IT-Mitarbeiter löscht 180 virtuelle Server
Wofür du ein „WTF Notizbuch“ brauchst
Nat beschreibt in einem interessanten Blog Artikel, warum er beim On-Boarding ein „WTF“ Notizbuch mit sich führt, in dem er alle Themen der ersten Wochen aufschreibt, die ihm spanisch vorkommen (Bei denen er „WTF“ denkt).
Nach typischen 2 Wochen hat er eine nette Liste zusammen und macht sich strukturiert Gedanken:
- Für welche Themen gibt es gute Gründe, warum sie sind wie sie sind?
- Das Team arbeitet bereits an einem Fix (Es dauert nur länger, fehlt Budget, etc.)
- Dem Team ist es egal
- Dinge sind einfach zu fixen
Im Artikel nennt er dann einige Beispiele, häufig entdeckt er dabei technische Schulden, oder Dinge, die das Team unter den Tisch gekehrt hat. Manche Dinge hat das Team aufgrund von „Betriebsblindheit“ auch einfach akzeptiert – er versucht dann dem Team bei den dicken Brocken zu helfen:
Pretty soon, I’ll start to get in to the really sticky issues. The problems the team knows about but is afraid of dealing with. The things that aren’t „that bad,“ but that no one wants to talk about. Maybe they’re missing the technical skills to deal with the problem. Maybe there’s a knotty people problem at the center of it.
Beim Management und den Kollegen komme diese strukturierte Arbeitsweise gut an. In Summe helfe ihm das WTF Notizbuch dabei, dass man wirklich wichtige Dinge bewegen kann, ohne ein ständiger Nörgler zu sein.
File Kopie Tutorial von 30 Jahre altem Laptop
Der hier passt schon fast in die Schmunzelecke, aber irgendwie fand ich es auch relevant.
Wer kennt es nicht – ein Familienmitglied kommt mit einem Apple PowerBook Duo 280c von 1994 um die Ecke und benötigt unbedingt ein paar Audio Files. Das Problem? Der Laptop hat kein USB Anschluss, das externe Floppy Laufwerk funktioniert nicht. Die interne Festplatte ist mit einem nicht-Standard SCSI Adapter angeschlossen – man kann diese also auch nicht so einfach ausbauen und woanders anschließen.
Wie der Autor Luke es dann geschafft hat, das File über die analoge Telefonbuchse, einen simulierten Telefonanschluss und die „Druckfunktion“ aus einem Word-Dokument an einen anderen Laptop übertragen konnte – das erfährst du direkt im Artikel.
How to Copy a File From a 30-year-old Laptop
GitLab 17.1 veröffentlicht
Nach dem Release von GitLab 17.0 im Mai folgt GitLab 17.1 im Juni.
In 17.1 gibt es über 45 Verbesserungen – etwas weniger, als sonst – ein paar Highlights:
- Die GitLab Registry unterstützte nun die Speicherung und Organisation von LLM Models
- Für alle zahlenden Accounts gibt es nun GitLab Duo Code Vorschläge in VS Code
- Für GitLab User in der Google Cloud gibt es nun einen selbst-skalierenden GitLab Runner
- im Wiki gibt es diverse Verbesserungen – man kann nun Seiten clonen – endlich – einfacher Löschen oder mit Platzhaltern arbeiten
- In CI/CD gibt es nun ein „Manual_Confirmation“ Modal, dass dich frägt, ob du dir auch wirklich sicher bist
Und falls du es nicht mitbekommen hast – am 26.6.2024 wurde ein Critical Patch Release von GitLab veröffentlicht – es betrifft die Versionen 16.11, 17.0 und schon 17.1 – ein Upgrade ist daher zwingend kurzfristig durchzuführen, sofern du keinen Automatismus hast, der das erledigt.
Schmunzelecke
Passend zur Analyse von Atlassian gibt es hier bei Tom Goodwin auf Linkedin einen passenden Tweet inkl. Analyse zur aktuellen Arbeitsweise in „modernen“ Organisationen.
💡 Link Tipps aus der Open Source Welt
SPF, DMARC und DKIM erklärt
Im verlinkten Repository bei GitHub findest du einen einfachen Guide zu SPF, DMARC und DKIM inkl. diverser Tool Tips und einer FAQ zu DMARC Reporting und co.
Da ich die Woche wieder einen Fall hatte, wo diese Themen unklar waren, passt der Link vielleicht ganz gut – E-Mail ist historisch gewachsen und diese 3 Helfer sind in 2024 die Basis für eine saubere E-Mail Zustellung.
Das DMARC Reporting sollte man dann noch überwachen und seine Records entsprechend anpassen.
https://github.com/nicanorflavier/spf-dkim-dmarc-simplified
Web Check: Open Source OSINT Tool
Der Web Check ist ein Open-Source Intelligence Tool (OSINT). Damit kannst du dir eine Vielzahl von öffentlichen Informationen zu einer Domain ausgeben – Domain Header, SSL Zertifikatskette, Server Infos, TXT Records, Tech-Stack, Verwendung von der Security.txt und vieles mehr.
Beispielsweise wird auch der „Carbon Footprint“ über die Größe der Page berechnet.
Den WebCheck kannst du Online ausführen – hier für allesnurgecloud – oder auch einfach selber hosten.
https://github.com/lissy93/web-check
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: