Glue Work, Microsoft Key, Vertrauensverlust, Harddisk Recovery, Curl, Once und mehr – allesnurgecloud #115

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

508 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Willkommen zu allesnurgecloud.com – Ausgabe #115!

Im Podcast hatte in dieser Woche in Folge 38 Johannes Kronmüller von DivvyDiary.com zu Gast. DivvyDiary ist eine SaaS App für das Tracking von Dividenden, die Aktien, ETFs und andere Wertpapiere ausschütten. Johannes baut es mit Co-Founder und einem Mitarbeiter und kann schon gut davon leben. Den Podcast findest du unter „Happy Bootstrapping“ im Podcast Player deiner Wahl.

Glue Work – Klebstoffarbeit

In diesem hervorragenden Artikel beschreibt Tanya Reilly (Twitter @whereistanya, Principal Software Engineer bei Squarespace). was sie unter „Glue Work“ versteht und warum diese Arbeit elementar für den Erfolg einer Tech-Company sei.
Tanya beschreibt, dass Software-Engineering Skills nicht alleinig für den Erfolg eines Projekts verantwortlich sind – man benötigt viele weitere Skills in einem Team – beispielsweise das Schreiben und Reviewen von Dokumenten, Onboarding von neuen Kolleg:innen oder das Hinterfragen von Prozessen und die Verbesserung dieser.
Für mein Verständnis fehlen hier noch Dinge wie „Stakeholder“ Management – zumindest, was technische Themen sind.
Tanya nennt dies „technical leadership“ oder kurz glue work.

Sie beschreibt auch die Gefahren, die davon ausgehen, wenn man sich zu früh in der Karriere mit „Glue Work“ beschäftig oder wenn die Wichtigkeit davon nicht wertgeschätzt wird:

In fact, doing glue work too early can be career limiting, or even push people out of the industry.
It’s ironic. We lose good engineers because they happen to also be good at other skills we need.

Im Blog Artikel beschreibt Sie anhand vieler Slides und einer fiktiven (aus ihren Erfahrungen und Einsendungen) entstandenen Geschichte einer „Glue workerin“ und den bekannten Management-Antworten wie „You didn’t have sufficient impact yet“. Häufig könne man mit der Arbeit keine Lorbeeren einheimsen, dabei sei die Arbeit aber eben wichtig für den Erfolg eines Projekts:

Glue work is the difference between a project that succeeds and one that fails. This is why technical program managers and project managers make such an impact: they do the ultimate glue role. They see the gaps and fill them.

In teams without a project manager, what happens?
In some teams, the manager takes up the load. In others, the work gets spread among the people willing to do it, or the people expected to volunteer for it.

Zusätzlich beschreibt sie, untermauert von Umfragen des Harvard Business Review, dass Frauen sich viel häufiger für „Freiwilligen-Arbeit“ melden als Männer, und zwar 48 % mal häufiger.
Schlussendlich müsse man sich entscheiden, „Glue Work“ machen zu wollen – dies müsse man dann kommunizieren, man benötigt einen Titel, der die Änderung auch darstelle und kommunizieren kann. Oder man muss es einfach komplett lassen, da dies sonst einfach nicht zufriedenstellend ablaufe.

Den kompletten Vortrag gibt es auch auf YouTube (28:19 Minute) – wenn du dir das lieber „Live und in Farbe“ anschauen willst, anstatt den Artikel zu lesen.

Vielen Dank an Jan fürs Einsenden des Artikels!

Glue Work

Microsoft klärt über Master-Key Verlust auf

In einem Blogartikel klärt Microsoft nun darüber auf, wie Storm-0558 in den Besitz des Master Keys gekommen ist.

Der eigentliche Vorgang reicht zurück bis in den April 2021 – was war passiert?
Während eines Crashes entstand ein sogenannter Crash-Dump – dieser Crash Dump wird auf einem produktiv System erzeugt – welches strikt von den Mitarbeiterrechnern, Corporate Network und der Entwicklungs-Infrastruktur getrennt ist – das ist „normal“ und sollte auch immer so ein.
Dieser Dump wurde zur Debugginganalyse in die Mitarbeiter Infrastruktur verschoben – das ist auch normal.

Nicht normal ist jedoch, dass der Dump den Signing Key enthielt – der Thread Actor von Storm-0558, der den Account eines Microsoft MA kompromittierte, konnte jetzt auf die Daten zugreifen und den Key abziehen. So ist es scheinbar gelaufen, man weiß es jedoch nicht mit 100-prozentiger Sicherheit, da die nötigen Logs mittlerweile nicht mehr vorhanden seien:

Due to log retention policies, we don’t have logs with specific evidence of this exfiltration by this actor, but this was the most probable mechanism by which the actor acquired the key.

An diversen Stellen haben jedenfalls vorhandene Sicherheitsmechanismen versagt:

  • der Key sollte nie Teil eines Dumps sein
  • die Security Scanner haben den Key im Dump nicht entdeckt
  • das Credential Scanning hat den Key vor dem Start des Debuggings nicht gefunden

Diese Dinge seien jetzt alle korrigiert wurden.

Ein ausführliches Summary zum Vorfall an sich ist in Microsoft Security Blog zu finden.
Respekt, dass man hier so die „Hosen herunterlässt“ – auf der anderen Seite ist dies sicher auch nötig, um das Vertrauen wieder herzustellen.

Und man sieht auch schön, an welchen Stellen Microsoft überall eine Trennung und Scanner installiert hat – man sollte sich nicht darüber lustig machen, wenn man dies nicht mal ansatzweise so am Start hat – wovon in den meisten Fällen auszugehen ist.

Fefe sieht das Ganze etwas anders und beschreibt den Vorgang als „Komplettes Versagen auf allen Ebenen“ und schließt aus der Netztrennung, dass selbst „Microsoft seine eigene Software als zu riskant bewerte, um sie in die Nähe ihrer Produktionsumgebung zu betreiben“.

Results of Major Technical Investigations for Storm-0558 Key Acquisition

Sponsored

Have your head in the clouds?

Das kann mal passieren! Cloud Computing stellt die Cybersicherheit vor neue Herausforderungen; On-Premise und Cloud wachsen zunehmend zusammen und die Funktionalitäten erweitern sich rasant. Dadurch stellt sich Dir die Frage: Wie sicher ist meine Cloudumgebung eigentlich?

Beim Finden der Antwort, unterstützen wir Dich gerne: Das Cloud Security Assessment von SCHUTZWERK schafft Risikotransparenz und hilft Dir Deine Cloud bestmöglich zu schützen.

👩‍💼 Professionelle Betrachtung: Mit dem Cloud Security Assessment bieten wir Dir eine umfassende Prüfung, die auch die Anbindung an das Unternehmensnetzwerk und die administrativen Prozesse berücksichtigt.

☁️ Individuelle Bewertung: Wir beginnen das Assessment mit einem Workshop zur Analyse möglicher Bedrohungsszenarien, damit wir unsere Arbeit genau auf Deine Situation abstimmen können.

🔎 Sorgfältige Prüfverfahren: Wir führen sowohl automatisierte als auch manuelle Prüfungen durch, um Deine Cloudumgebung auf Herz und Nieren zu untersuchen.

📄 Umfangreicher Report: Wir liefern Dir einen detaillierten Bericht und konkrete Empfehlungen, um Deine Cloud optimal abzusichern.

👉 Willst Du wissen, wie Du Deine Cloud noch sicherer machen kannst? Buche hier ein unverbindliches Beratungsgespräch und informiere Dich über unsere weiteren Prüfungsdienstleistungen (z.B. Penetrationstests)

Vertrauensverlust: Wie man es wieder hinbiegen kann

Charity Majors, CTO bei Honecomb, schreibt viele gute Artikel zum Thema Reliability und Organisation. Im verlinkten Artikel jedoch teilt sie ein komplett anderes Thema: Sie fasst ein internes Honeycomb Dokument zum Thema „Vertrauen“ zusammen, in dem Sie beschreibt, wie man verlorenes Vertrauen wieder aufbauen kann.

Interessanterweise beschreibt sie es am eigenen Beispiel: Sie hatte vor Jahren das Vertrauen zu ihrer Mitgründerin (und CEO) Christine verloren – dieses Verhältnis war es aber wert, wieder aufgebaut zu werden. Charity schreibt dazu, dass Beziehungen zwischen Mitbegründern schwierig sein können, ähnlich wie Ehen. Aber wenn es die richtige Person ist, sei es die Mühe wert.

Um Vertrauen wieder aufzubauen, sind kleine, positive Interaktionen entscheidend. Wenn das Vertrauen fehlt, muss über kommuniziert und überkompensiert werden.

Häufig sind es Kleinigkeiten, mit denen man dies erreichen könne – Charity gibt einige Tipps:

  1. Vorherige Schwierigkeiten ansprechen oder nachfragen, wie etwas angekommen ist, um Missverständnisse zu vermeiden => Erwartungshaltung!
  2. Vorsicht bei der Kommunikation walten lassen, um die Wahrnehmung des anderen zu berücksichtigen.
  3. Freundlich sein und höfliche Worte verwenden.
  4. Mal eine Pause einlegen, wenn man emotional reagiert, um Eskalationen zu vermeiden – ist schwierig, diese sonst wieder einzufangen
  5. Positive Interaktionen schaffen, auch wenn sie künstlich wirken.
  6. Die positive Absicht hinter den Worten betonen.
  7. Die Möglichkeit bieten, sich selbst zu verbessern und Missverständnisse zu klären.
  8. Die Schwierigkeiten der schriftlichen Kommunikation erkennen und die Anstrengungen anderer schätzen.

Schließlich ermutigt Sie dazu, Menschen eine Chance zu geben, sich zu verbessern, und dabei bei sich selber anzufangen.
Und man sollte sich persönlich sprechen – häufig werde das geschriebene Wort eines Anderen missinterpretiert, da man selber eben anders kommuniziert.
Einfach mal auf ein treffen, oder auch zwei!

How to communicate when trust is low (without digging yourself into a deeper hole)

Pinterest: Einsatz von Elixir spart 2 Millionen Server Kosten

Ich gebe zu, etwas reißerische Headline – aber es stimmt halt. Ich erlebe immer wieder, wie naiv mit Cloud und Kosten umgegangen wird.

Pinterest beispielsweise hat einen 16.000 $ im Monat kostendes API Gateway auf Basis von AWS Lamda in ein 3 Node Elixir Cluster umgezogen. Und das ist kein kleines Gateway, es macht 12 Millionen Requests pro Stunde und 300 GB Traffic am Tag (Nur API Traffic, keine Traffic intensiveren HTML Pages oder gar Bilder/Videos).

Der detaillierte Artikel dazu ist selbst aus dem Jahr 2018 – trotzdem erlebt man auch heute noch Applikationen, die als MVP auf Lamda starten und dann zum Multi-Million User Setup werden – entsprechende Kosten inklusive.

Als zweiten Use Case wird die Sport-und Medien Website bleacherreport.com genannt – hier hat man die Serveranzahl von 150 auf 5 reduziert – durch den Einsatz von Elixir – und dabei 97 % Cloud Kosten (knapp 2 Millionen Dollar) gespart.

Was ist das Elixir der heutigen Zeit? Rust? Go?
Falls du einen Case dazu hast, gerne mir schicken.

Elixir Saves Pinterest $2 Million a Year In Server Costs

Once: Einmalige Zahlung anstatt SaaS bei 37signals

Ja, ich berichte gerne über die Themen, die 37signals so treibt. Aktuell hat man wieder einen rausgehauen – nachdem gelungenen Rückzug aus der Cloud soll es nun zumindest teilweise zurück zum klassischen Lizenzgeschäft gehen – weg von SaaS Subscriptions:

You used to pay for it once, install it, and run it. Whether on someone’s computer, or a server for everyone, it felt like you owned it. And you did.

Today, most software is a service. Not owned, but rented. Buying it enters you into a perpetual landlord–tenant agreement. Every month you pay for essentially the same thing you had last month. And if you stop paying, the software stops working.

Jason Fried, Gründer und CEO von 37signals führt aus, dass self-hosting ja wieder einfacher sei als früher, und viele Firmen ermüdet davon seien, immer mehr für SaaS Subscriptions und Cloud-Hosting auszugeben. Man möchte nun neue „Pay one time, own forever“ Produkte einführen, um dies wieder zu ermöglichen.

Bin mal gespannt, wie das dann mit „Support & Updates“ laufen soll, darüber steht ja nichts dabei – das ist ja was, was man bei den SaaS Modellen immer dabei hat – es kümmert sich jemand darum.

Jason spricht davon, dass die „post–SaaS era is just around the corner“ sei – ich bin gespannt, welches Produkt sie hier als erstes anbieten werden.
Das Projekt Management Tool Basecamp? Die E-Mail Suite HEY oder bietet sie sogar ihre Container Management Lösung MRSK als „Enterprise“ Lösung an?
Ich sehe gerade, dass MRSK nicht mehr so heisst, sondern nun „Kamal“ (GitHub Issue) – und es gibt eine neue, schicke Website dazu. Na, wenn das kein Indiz dafür ist, dann weiß ich auch nicht.

Ansonsten hat sich David Heinemeier Hansson (DHH) in dieser Woche keine Freunde gemacht – die Entfernung von TypeScript aus der Hotwire/Turbo Engine hat er durchgeprügelt, ohne Widerrede – seltsamer Vorgang und der Community hat es nicht gefallen.

Introducing ONCE

Curl oder Wget?

Daniel Stenberg, seines Zeichens Maintainer von curl, klärt in einem kurzen Blog-Artikel über die Unterschiede zwischen curl und wget auf – und zeigt in einem schicken Diagramm, wann man besser curl, und wann besser wget verwendet.
Im Diagramm sieht man auch, an welcher Stelle beide Tools eingesetzt werden können.

Zudem stellt Daniel klar, dass er Code zu wget contributed, und dies auch andersherum passiere – man sehe sich nicht als Konkurrenz, sondern ergänzt sich entsprechend.

The Curl-Wget Venn Diagramm

Harddisk Recovery mit Schraubzwinge und Co.

ja, ich weiß nicht – solche Stories gehören hier auch rein, da sie zeigen, wie erfinderisch die IT machen kann (und dass man mit Schraubzwingen nicht nur #wasmitholz machen kann).

John Graham-Cumming, CTO von Cloudflare, zeigt in einem Blogartikel, wie man mithilfe von einer Schraubzwinge, einer alten Kreditkarte und einer Wärmebild-Kamera ein erfolgreiches SSD Recovery durchführt, wenn mal eine der Leitungen nicht mehr funktioniert.
Er konnte damit die Daten erfolgreich extrahieren und die SSD anschließend mit einem Heißluftfön wieder fixen.

Ob das Teil jetzt noch produktiv verwendet, hat er allerdings nicht verraten – ich denke nicht.

Retrieving 1TB of data from a faulty Seagate Firecuda 530 drive with the help woodworking tools

Schmunzelecke

Auf smolseite.zip kannst du eine Website direkt via ZIP ausliefern. Du musst dazu beispielsweise deine index.html und die Bilder dazu in ein Zip File packen, dieses dann base64 encoden und schon kann die Page ausgeliefert werden.

$ zip -DXjq9 somesite.zip index.html mylogo.png
$ echo "https://smolsite.zip/`cat somesite.zip | base64 --wrap 0`"

Witzig, mit was sich manche Leute die Zeit vertreiben

💡 Link Tipps aus der Open Source Welt

eza – moderne Alternative für „ls“

Das CLI Tool eza ist eine moderne Alternative für ls. Ursprünglich hieß das Projekt exa, aber der Maintainer des Projekts ist nicht mehr ereichbar oder reagiert nicht – somit gibt es nun den Fork eza.

Vorteile gegenüber ls:

  • Hyperlink support
  • Selinux Context output
  • git status output
  • human readable dates
  • uvm.

eza kannst du einfach per nix/cargo/homebrew installieren – mit homebrew einfach mit brew install eza.
Für Debian/Ubuntu gibt es sogar einen Package Mirror – da kommen dann auch die Updates mit.

https://github.com/eza-community/eza

Linux Network Performance Parameter

Im verlinkten GitHub Repository findest du einen hervorragenden Einstieg in das Netzwerk Performance Debugging mittels sysctl Parameter und deren Auswirkungen.
Der Guide erklärt außerdem, wie der Kernel Ingress und Egress Traffic verarbeitet oder klärt die Fragen „What“, „Why“ und „How“ für Ring BufferTCP Read und Write Buffer und diverse weitere sysctl Parameter. Zudem sind am Ende eine Menge References verlinkt – bookmarken!

https://github.com/leandromoreira/linux-network-performance-parameters

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

508 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


  • Neueste Beiträge

  • Neueste Kommentare

  • 0

    Share

    By About
    Abonnieren
    Benachrichtige mich bei
    guest

    0 Comments
    Inline Feedbacks
    View all comments

    allesnurgecloud.com

    © 2024 allesnurgecloud.com
    0
    Would love your thoughts, please comment.x