Software bei Oxide, RegreSSHion SSH Lücke, Bitkom Cloud Umfrage, Beliebtheit von PostgreSQL, Cloudflare blockt KI Bots und mehr – allesnurgecloud #149

Willkommen zu allesnurgecloud.com – Ausgabe #149

Das EM-Aus ist für mich heute am Samstag noch immer schwer zu verdauen. Daher ist der Newsletter eine gute Ablenkung, auch das Wetter passt dazu, dass man sich dann mit sowas beschäftigt, denn draußen geht bei uns gerade die Welt unter.
Wie immer freue ich mich über Feedback zu den Themen im Newsletter und wünsche dir einen schönen Sonntag.

Happy Bootstrapping Podcast

In der Folge 78 vom Donnerstag habe ich mit Björn Sperling von Sperling-Bags.com gesprochen. Björn hat Sperling Bags gemeinsam mit Freundin Katharina gegründet und das Wachstum des Start-ups unter anderem mit dem Verkauf seines Campers zwischenfinanziert.
Bei Sperling-Bags bekommst du Rucksäcke & Portemonnaies aus Kork – zum Ausprobieren gib’s am Ende der Folge einen Gutschein Code für die erste Bestellung.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

519 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Software Entwicklung, Kultur und Arbeiten bei Oxide Computer

In der vorletzten Woche hatte ich euch etwas ausführlicher die Hardware von Oxide Computer vorgestellt.

Gergely hat nun Part2 veröffentlicht, in dem er ausführlich den Software Stack, Kompensation der Mitarbeitenden, die Remote- und Entwicklungskultur und die Kollaboration zwischen Software und Hardware Entwicklung vorstellt.

In der Software Entwicklung arbeitet Oxide viel mit Rust, welches vielerorts Go schon wieder ablöst. Sämtliche Software von Oxide ist Open Source – damit man die vielen Namen und Komponenten der Control Plane versteht, findet sich hier eine grobe Erklärung aller Komponenten und deren Architektur.
Omicron ist beispielsweise die eigene Rack Control Plane, Crucible ein selbst entwickelter Block Storage Service und „Console“ die Web Console – diese ist dann beispielsweise in Typescript gebaut.
An bekannten Komponenten verwendet Oxide beispielsweise CockroachDB als Distributed Database für die Control Plane und ClickHouse für Telemetrie Daten aller Systeme.

Bei der Kompensation wird es nun spannend – bei Oxide verdienen alle Engineers erstmal das gleiche wie die Gründer selbst: $ 201,227:

The three of us live in the San Francisco Bay Area, and Steve and I each have three kids; we knew that the dollar figure that would allow us to live without financial distress – which we put at $175,000 a year – would be at least universally adequate for the team we wanted to build. And we mean everyone: as of this writing we have 23 employees, and that’s what we all make

Das Gehalt wird jedes Jahr an die Inflation angepasst, deshalb ist die Summe nun schon höher als zum initialen Statement. Natürlich gibt es die für die USA wichtige Krankenversicherung sowie einen 401k Plan und weitere Benefits.

Beim Gehalt ist natürlich die Frage, ob man das so weiter skalieren kann, aber im Grunde finde ich das schon mal spannend, dass alle 23 Angestellten das Gleiche verdienen. Und ja, ebenfalls beeindruckend, dass man das alles mit 23 Angestellten schafft, oder?

Super transparent kann man viele dieser Themen im „Request for Discussion“ board bei Oxide verfolgen – da gibt es die finale Mission des Unternehmens von 2020, ein aktuelles Dokument zum Hiring Prozess aber auch das öffentliche Design Dokument zum Storage System.

Die weiteren Themen bekommt man leider nur, wenn man ein „Paid Subscriber“ beim Pragmatic Engineer ist.

A startup on hard mode: Oxide, Part 2. Software & Culture


RegreSSHion: Kritische Lücke in OpenSSH

In OpenSSH ist am 1. Juli eine kritische Lücke veröffentlicht worden. Na ja, eigentlich ist die Basis eine recht alte Lücke aus dem Jahr 2006 – CVE-2006-5051. Der Fehler wurde damals gefixed, wurde jedoch im Oktober 2020 erneut wieder eingebaut.

Der aktuelle CVE hat die ID CVE-2024-6387 und die Lücke ist aufgrund der Wiederholung „RegreSSHion“ getauft worden. Konkret nutzt die Lücke eine Schwachstelle beim Abbruch von nicht erfolgreichen ssh-Verbindungen aus. Sicherheitsforscher von Qualys haben es nun geschafft, das exakte Timing abzupassen und auf 32-bit Systemen einen erfolgreichen Angriff zu fahren. Damit das in der Praxis funktioniert, muss der Server einige hunderte parallele ssh-Verbindungen zulassen – selbst dann dauere der Angriff 6-8 Stunden.

In der Regel hat man hier Dienste wie fail2ban in Verwendung – oder sollte die zumindest am Start haben, damit solche Themen grundsätzlich verhindert werden können. Da der Newsletter erst am Sonntag erscheint, hast du das Problem vermutlich schon lange gefixed.

Betroffene Systeme sind jedenfalls:

Am einfachsten lässt sich das Problem über eine Aktualisierung der Pakete lösen – sollte das nicht so schnell möglich sein, so kann alternativ auch der Parameter LoginGraceTime=0 in der SSH Config gesetzt werden.

Auf GitHub findest du hier ein Skript, mit dem du deine Hosts gegen CVE-2024-6387 prüfen kannst – bei Qualys gibt es hier einen laufend aktualisierten Blog Artikel, der nochmal herleitet, wie das Ganze funktioniert und der zusätzlich viele Linux Distributionen und ihre Anfälligkeit gegen die Lücke auflistet.

RegreSSHion: Sicherheitslücke in OpenSSH gibt geduldigen Angreifern Root-Rechte


Sponsored

8gears Container Registry

Container Images unterscheiden sich deutlich von anderen Artefakten hinsichtlich ihrer ständigen Verfügbarkeit.
Im Gegensatz zu NPM oder JAR Artefakte müssen Container Images für den operativen Betrieb der Anwendung durchgehend verfügbar sein.  Auch sollte die Registry nicht auf den gleichen Clustern laufen wie die Anwendungen, um den MTTR (mean time to recovery) möglichst kurzzuhalten. Selbstverständlich sollte die Registry hochverfügbar ausgelegt werden, mit ansprechenden Datenbanken und Buckets.

Wenn es bloß jemanden gäbe, der das Ganze für einen übernehmen könnte?

Die 8gears Container Registry ist ein Harbor-basierte Container-Registry Service. Angeboten und betrieben von Harbor Projektbetreuern und Mitwirkenden.
Hochverfügbar in verschiedenen EU Datenzentren ganz in deiner Nähe.

👉 Erfahre mehr über die 8gears Container Registry


Bitkom Umfrage zu Cloud Computing

Das scheinen sich laut einer Bitkom Umfrage viele zu Fragen. In der Umfrage gaben 41 Prozent an, das Thema „Souveräne Cloud“ gar nicht zu kennen – 21 Prozent hätten schon mal davon gehört, können aber das Konzept nicht erklären – die zähle ich daher mal zu den 41 Prozent, macht also schon 62 Prozent, die mit dem Begriff nichts anfangen können. Immerhin gaben 31 Prozent an, es ungefähr zu wissen.

99 Prozent der Teilnehmenden gaben an, dass der Rechenzentrums-Standort Deutschland für sie von Bedeutung sei. 53 Prozent gaben hingegen an, dass RZs in den USA für sie nicht in Frage kämen. Ob denen regulatorisch klar ist, dass ein von einem US Anbieter in Deutschland betriebenes RZ auch eher ein US RZ als ein deutsches ist? Auch in meinem Podcast habe ich das häufig gehört, man sei ja mit AWS als EU Standort auf der sicheren Seite, was das Thema GDPR betrifft. irgendwie kann ich diese Naivität nicht verstehen.

Auch interessant in der Umfrage – 99 Prozent gaben an, dass ihnen IT-Sicherheit, Compliance und Datenschutz wichtig sei. Weniger wichtig ist jedoch der Einsatz von Open-Source Software (nur 46 Prozent) oder eine Kompatibilität zu Gaia-X (30 Prozent). Ich glaube die Frage „Was ist Gaia-X nun eigentlich?“ kam in der Umfrage nicht vor.

Mehr als die Hälfte der Befragten Unternehmen will in Zukunft in Cloud investieren, jedoch wollen nur 14 Prozent eine „Cloud only“ Strategie fahren.

Für die Umfrage hat der Bitkom Verband 603 Unternehmen ab 20 Beschäftigte befragt.

Unternehmen treiben mit der Cloud ihre Digitalisierung voran


PostgreSQL wird beliebteste Datenbank

Im verlinkten Artikel im Timescale Blog geht es um die in den letzten Jahren gestiegene Popularität von PostgreSQL zum deFacto Standard unter den Datenbanken. Das liegt nicht nur an der Datenbank selbst, sondern an dem ganzen Ökosystem drumherum, der großen Anzahl an Extensions die ein „Just use PostgreSQL for everything“ erst ermöglichen.

Laut einer Stack Overflow Umfrage aus dem Jahr 2023 hat PostgreSQL mit 49,09% Beliebtheit nun den ersten Platz bei den DBMS eingenommen, dicht gefolgt von MySQL mit 40,59% und SQLIte mit 30,17%. Oracle ist in der Umfrage mit 10,06% weit abgeschlagen.

Ein User schreibt auf Twitter zu PostgreSQL:

It has made a remarkable comeback. Now that Nosql is dead and Oracle own mysql what else is there ?

Timescale beschreibt im Blog, natürlich nicht ganz uneigennützig, dass PostgreSQL nun eine Plattform ist und nicht nur ein DBMS. PostgreSQL hat die Extensions in 2011 eingeführt und heute sehen wir viele Applikationen mit der PostGIS geo-extension, mit TimescaleDB als Timeseries DB, pgvector als Vector Datenbank oder bei Supabase mit einem eigenen Ökosystem für Applikationen.

Für BigData Applikationen gibt es seit dem letzten Jahr „Tiered Storage“ – man muss sich nicht mehr um die Archivierung und Auslagerung selbst kümmern – einmal konfiguriert, macht das System das selbst – und der Client ganz normal SQL mit der DB sprechen.

Dass Timescale noch den Editor PopSQL gekauft hat, habe ich gar nicht mitbekommen. Sieht aber interessant und für Entwickler wirklich schön bequem aus.

Das Bild des Beitrags stammt übrigens von Stephan Schmidt, dem Autor von AmazingCTO.com und dem genannten Zitat „Just use Postgres for Everything“.

Why PostgreSQL Is the Bedrock for the Future of Data


Dell: 50 % der Vollzeit Mitarbeitenden lehnen RTO policy ab

Über die strikte Return-To-Office Policy (RTO) von Dell hatte ich bereits ein paar mal berichtet. Laut dem Business Insider haben 50 % der Vollzeit Mitarbeitenden die neue Policy nun abgelehnt – mit der Konsequenz, nicht mehr befördert werden zu können.

11 Dell Angestellte haben inzwischen mit dem Business Insider gesprochen und ihre Beweggründe erklärt. Ein kleiner Auszug:

I benefited a lot from being WFH since 2020 and had a lot of personal growth. I’m not willing to give that up if I don’t have to.

Vorher habe das Leben nur aus Arbeit und zu Hause sein bestanden, mit wenig Zeit für Dinge zwischendrin – das habe sich nun stark verbessert – Familie, Hobbies, Dinge mit Freunden unternehmen, dafür sei nun mehr Zeit.

Ein Mitarbeiter gibt an, dass er unterm Strich weniger Geld haben würde, da er oder sie sonst viel Geld für Pendelei und Essen im Büro ausgegeben habe:

With the salary that we are receiving, a return to the office would leave a huge hole in our budget

Ein Mitarbeitender gab ironischerweise an, dass es das Büro und das man hätte, zurückkehren können, 2020 geschlossen wurde. Zudem seien die Kollegen ohnehin über mehrere Kontinente und Zeitzonen organisiert, daher spiele die Büro-Location keine Rolle – irgendwie logisch, bei einem global operierenden Unternehmen.

Viele gaben aber auch an, dass sie sich aktiv einen neuen Job suchen wollen, da sie keine Lust mehr darauf haben, ein „Angestellter zweiter Klasse“ zu sein.

Almost half of Dell’s full-time US workforce has rejected the company’s return-to-office push


Cloudflare mit KI Bot Blocking

Der CDN Anbieter Cloudflare hat einen neuen Service eingeführt, der sämtliche AI Scraping Bots mit einem Klick blocken kann. Auch die Cloudflare Kunden mit den kostenlosen Free Plan können den Dienst ab sofort nutzen – so muss man die Bots nicht einzeln über die Robots.txt blocken.

Die Blockierung über die Robots scheint nicht so zuverlässig zu funktionieren bzw. teilweise ignoriert zu werden – Cloudflare blockt hier in Zukunft über ein Fingerprinting der Bots selbst. In deinem Dashboard kannst du das neue Feature unter Security => Bots aktivieren.

Im Artikel gibt es auch diverse Statistiken zu den Bots – interessanterweise ist Bytespider von Bytedance/TikTok der Bot mit der meisten Aktivität – noch vor dem GPTBot von OpenAI, welcher Trainingsdaten für die eigenen Modelle einsammelt. Danach folgt mit nur 11% Aktivität der ClaudeBot von der europäischen AI Hoffnung Anthropic.

Cloudflare startet Schutzwall gegen Scraping-Bots der AI-Unternehmen


3 Gute und Schlechte Dinge über Docker

Im verlinkten Artikel geht es um 3 Gute und 3 schlechte Dinge am Docker Ökosystem. Beispielsweise um den DockerHub selbst, die Verwendung des :latest Tags und die Isolation, die ein Docker-Compise für lokale Entwicklungsumgebungen mit sich bringt.

Der Autor des Artikels wirbt damit, dass man Docker und Bash für seine Entwicklungsumgebungen immer anderen Plattformen (wie die DevContainers von Microsoft) bevorzugen sollte. Docker sei so zum Standard geworden, dass es daran eigentlich kein Weg vorbei gebe.

Wie siehst du das? Wie sieht deine lokale Dev Umgebung aus?

Three Good and Three Bad Things about Docker


SRE: die 5 Fehler Regel

Die so genannte „Rule of 5 Errors“ wurde zuerst von Alex Palcuie (Google) in seinem „Going from 30 to 30 Million SLOs“ Talk auf der SRECon22 erwähnt.

Die Regel besagt, dass man nicht stupide nach 5 Fehlern alarmieren sollte, sondern man sich immer die Zeit und die gesamte Anzahl der Requests anschauen sollte. Die im Artikel angehängte Tabelle (siehe Google Docs) macht das deutlich, denn

  • bei 10 Requests wären 5 Fehler eine Error Rate von 50 %
  • bei 500 Requests sind 5 Fehler schon nur 1 % Error Rate
  • und bei 10.000 Requests sind 5 Fehler 0,05 % Error Rate

In Prometheus kann man hierfür diverse Alerts kombinieren, in DataDog heisst das Ganze „Composite Monitors“ und in Grafana geht dies ebenfalls über die Zusammenführung mehrere Queries in einer Alerting Rule.

Damit kann man für Zeiten mit weniger Requests (nachts z.B.) eine andere Error Rate oder Zeiteinheit ansetzen als tagsüber.

The Rule of 5 Errors


Schmunzelecke

Fax-KI die Zukunft der Digitalisierung in Deutschland?
Ich weiß nicht, ob das echt ist, aber scheinbar kann man hier Fragen an eine KI per Fax übermitteln und erhält dann die Antwort wieder per Fax.
Hat wer noch ein Fax und kann das mal ausprobieren?


💡 Link Tipps aus der Open Source Welt

ImHex Hex Editor

ImHex ist ein OpenSource HexEditor – in eigenen Worten erklärt:

A Hex Editor for Reverse Engineers, Programmers and people who value their retinas when working at 3 AM.

Was bleibt mir da noch zu sagen?
Sieht schick aus, Binary Releases gibt es für den Mac, Windows und diverse Linux Distributionen. Und du kannst eine Datenbank für Hex-Patterns anbinden bzw. auch selbst welche über GitHub contributen.
Sehr spezielles Tool, aber vielleicht kann es der ein oder andere ja brauchen.

https://github.com/WerWolv/ImHex

Kener – Open Source Status Page

Kener ist eine moderne Open Source Status Page auf Basis von Javascript & Svelte.

StatusPage Einträge können über ein modernes Frontend oder über eine API gepflegt werden. Kener kann außerdem Daten von anderen APIs empfangen und anzeigen, Uptime Badges generieren, automatisch die Zeitzonen der Besucher berechnen und hat eine 100 % Accessibility Score – wichtig für das 2025 aktiv gehende Barrierefreiheits­stärkungs­gesetz.

Alle Features findest du hier in der Übersicht – wie das Ganze in Echt aussieht – hier ist eine Live Installation davon.

https://github.com/rajnandan1/kener


❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

519 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


  • Neueste Beiträge

  • Neueste Kommentare


  • Share

    By About
    Abonnieren
    Benachrichtige mich bei
    guest

    0 Comments
    Inline Feedbacks
    View all comments

    allesnurgecloud.com

    © 2024 allesnurgecloud.com
    0
    Would love your thoughts, please comment.x