allesnurgecloud #52 – Technische Schulden, IaC Audit, Zero Trust, Google Analytics Alternativen und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Technische Schulden bei Microservice Architekturen

Im Blog von InfoQ gibt es mal wieder einen aktuellen Artikel zu Thema „Technische Schulden“ – diesmal mit Bezug auf Microservice Architekturen. Klar, die technischen Schulden verschwinden ja nicht, nur weil man einen Monolithen abgelöst hat.
Man baut an Tag 1 der Neuentwicklung wieder neue „Schulden“ auf, die man irgendwann zurückzahlen muss. Je länger man damit wartet, desto höher die Zinsen – wie im echten Leben, nicht?
Wichtig ist, die Themen transparent zu machen.
Der Autor Glenn Engstrand schlägt hierfür vor, technische Schulden als Community Anstrengung anzugehen. Über einen „Technology Capability Plan“ könne man Technische Schulden managen und diese dem Management Transparent machen.
Eine gute Idee finde ich, die Schulden zu kategorisieren und mit einander Vergleichbar zu machen – Aufwände, Risiken, etc. in einer Zahl darzustellen.

Passend hierzu ist der Artikel „We sound like idiots when we talk about technical debt“, welcher ebenfalls darauf hinweist, technische Schulden ähnlich finanziellen Schulden transparent zu machen.

Technische Schulden sind eins meiner Lieblingsthemen – gerne halte ich hierzu auch Vorträge – sprecht mich einfach ein!

Managing Technical Debt in a Microservice Architecture

Auditierung von Infrastructure as Code mit GitLab

In diesem sehr technischen, aber interessanten Artikel aus dem GitLab Blog erklärt Michi von GitLab, wie man Terraform für „Infrastructure as Code“ einsetzt und die Infrastruktur Beschreibung dann automatisch in GitLab Pipelines auditiert.
Hierfür verwendet er beispielsweise:

und weitere Tools. Er zeigt weiter, wie man die Ergebnisse eines Audits automatisch in einen Merge Request einbaut und somit für eine Transparenz von möglichen Lücken im Infrastruktur Deployment aufzeigt.
Fantastic Infrastructure as Code security attacks and how to find them

Anzeige

24×7 Betrieb und nachhaltige Weiterentwicklung Deiner Webprojekte

Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Web-Applikationen.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise KRUU.com – eine Plattform für die Vermittlung von Dienstleistungen rund ums Thema „Hochzeit“.

Interessiert? Lerne uns einfach in einem 15 Minuten Video-Call kennen.

Jetzt We-Manage kennenlernen

„Zero Trust“ – Zukunft bei der amerikanischen Regierung

Während man sich in Deutschland noch mit Fax Geräten und der Luca App beschäftigt, hat das Weiße Haus eine neue Richtlinie für Cybersecurity vorgelegt. Mit der „Federal Zero Trust Strategy“ möchte das Weiße Haus seine untergeordneten Behörden und Ministerien einem Paradigmenwechsel unterziehen.
Unter „Zero Trust“ versteht man im Groben: Vertraue niemals, verifiziere immer. VPNs und „sichere Netze“ gibt es nicht mehr, sämtliche Applikationen müssen Nutzer und andere Applikationen mit sicheren Methoden immer verifizieren.
Die Regierung möchte hier auch zeigen, dass dies möglich ist, und damit amerikanische Unternehmen zu überzeugen, nachzuziehen.
Interessantes Detail der Strategie: Man möchte Sicherheitsexperten, die Lücken in Software aufdecken und veröffentlichen nicht mehr der Strafverfolgung übergeben sondern ein Bug-Bounty Programm aufsetzen.
Das BSI hat meines Wissens nach hierauf bisher nicht reagiert – falls wer doch was dazu hat, packt es gerne in die Kommentare.

VPN, SMS-Codes und Passwörter sind out, Zero Trust ist in

2FA wird Pflicht für npmjs Maintainer

Seit Neustem ist 2FA nun Pflicht für die Top 100 Projekte auf npmjs.com – dem Package Repository für NodeJS.
Ein lange überfälliger Schritt, gab es doch in den letzten Jahren diverse Hacks in Node Paketen, weil die Zugangsdaten zu den Repos in die falschen Hände gerieten.
Ab März sollen die Account Absicherungen auf kleinere Repositories ausgerollt werden und das gesamte NodeJS Ökosystem hier ein Stück sicherer werden. GitHub, Betreiber von npmjs.com erklärt die Maßnahme und den Zeitplan im unten verlinkten Blog Artikel.

Top-100 npm package maintainers now require 2FA, and additional security-focused improvements to npm

Google Analytics Alternativen

Drüben bei Blogmojo listet Finn Hillebrandt die aktuell besten Alternativen zu Google Analytics.
Viele werden sich hier aktuell umsehen – nachdem Österreichs Datenschutzbehörde festgestellt hatte, dass Google Analytics gegen die DSGVO verstößt – hat nun Frankreich nachgezogen.
Finn listet diverse OpenSource und SaaS Alternativen, einige davon hatte ich hier schon erwähnt (Plausible, Matomo – beide kann man selbst hosten) – andere kannte noch gar nicht. Manche (AWStats) sind dann doch eher betagt und ungeeignet.
Beschäftigt ihr oder eure Firma sich aktuell mit Alternativen? Welche schaut ihr euch an?

Die 12 besten Alternativen zu Google Analytics in 2022

Darknet-Leak und Erpressung bei der Emil Frey Gruppe

Die Emil Frey Gruppe, der größte Autohändler Europas mit Sitz in der Schweiz, ist Opfer einer „Double Extortion Ransomware»-Attacke“ geworden und wird nun von unbekannten erpresst.
Die gestohlenen Kundendaten (über 300GB) sollen im Darknet veröffentlicht werden, falls die Firma das geforderte Lösegeld nicht bezahlt. Mittlerweile hat das Unternehmen seine Kunden (über 1,1 Millionen) über den Datenabfluss informiert und vor einem Mißbrauch der Daten gewarnt (Quelle: inside-it.ch).

Emil Frey Gruppe gehackt: Darknet-Leak betrifft Kundinnen und Kunden

AWS: S3 Daten von Flughafen Personal öffentlich erreichbar

Tja, da ist es mal wieder passiert, öffentliche S3 Buckets – diesmal mit Daten von Flughafenpersonal aus Kolumbien und Peru.
Da hat es jemand geschafft, die roten Warnlampen konsequent zu ignorieren und 3 mal auf bestätigen zu klicken.
ZDNet berichtet von über 3TB an Daten der Sicherheitsfirma „Securitas“, Teile der Daten könnt ihr beim Cyber Security Team der „SafetyDetectices“ einsehen – Bilder, Daten, Ausweise….
Hier lohnt sich nochmal der Hinweis auf den „Access Analyzer for S3“, der die Berechtigungen auf Buckets prüfen kann.

Why Do Amazon S3 Data Breaches Keep Happening?

AWS: Tausende öffentliche Datenbanken entdeckt

Avi Lumelsky, ein privater Security Researcher, hat sich die Mühe gemacht die AWS IP Adressbereiche nach „öffentlichen“ Datenbanken zu scannen. So ganz öffentlich waren die meisten nicht, denn sie waren „nur“ von den AWS Netzbereichen aus selbst erreichbar, aber das ist ja quasi öffentlich.
Er fand tausende öffentliche Elasticsearch Instanzen mitsamt Kibana Dashboards, inklusive Zugriff auf die dort gespeicherten Kunden-Daten – allesamt sehr sensitive Informationen.
Im verlinkten Artikel erklärt Avi, dass es ihm aufgrund der schieren Menge nicht möglich war, alle betroffenen Firmen zu informieren. AWS selbst wolle sich darum nicht kümmern, da dies ja eine kundenspezifische Konfiguration sein, und somit das Problem des Kunden.

How I Discovered Thousands of Open Databases on AWS

Zehntausende HPE iLO Interfaces öffentlich im Internet

Das iLO Interface von HPE Servern (Hewlett Packard Enterprise) ist die Remote Management Schnittstelle von HP Severn. Man kann sich hier einloggen, eine Konsole starten, einen Server abschalten oder rebooten….also nichts, was im Internet stehen sollte.
Über ein Rootkit namens Implant.ARM.iLOBleed.a ist diese Schnittstelle angreifbar, speziell in der Version iLO 4, die in G9 Servern und älteren Generationen verwendet wird.
Der Sicherheitsforscher Jan Kopriva hat über 20.000 dieser verwundbare iLO Interfaces im Internet gefunden – darunter auch 84 iLO 1 und 567 iLO 2 Versionen. Details könnt ihr in der kompletten Analyse lesen.

Tens of Thousands of Outdated HPE iLO Interfaces Exposed to the Internet and Rootkits

endoflife.date – EOLs von Software, Betriebssystemen und Frameworks

Endoflife.date ist eine praktische Übersichtsseite für den Support Lebenszyklus von Software und Betriebssystemen.
Viele Hersteller oder OpenSource Projekte unterscheiden ja zwischen Active Support und Security Support, auch dies wird hier übersichtlich dargestellt, einige Beispiele:

Die Inhalte selbst werden über GitHub gepflegt, natürlich kann man daran auch mitarbeiten.

endoflife.date

Data Engineering Bundle bei Humble Bundle

Bei Humble Bundle erhaltet ihr aktuell ein Data Engineering Bundle aus dem Hause O’Reilly und bezahlt für das komplette Bundle bestehend aus 15 Artikeln „mindestens“ 15,92€, unter anderem enthalten:

  • What is Data Engineering von Lewis Gavin
  • The Enterprise Bug Data Lake
  • Mastering Spark with R
  • Building Event-Driven Microservices
  • Stream Processing with Apache Flink

Das Data Engineering Bundle läuft noch 9 Tage.
Bis Montag gibt es noch ein „Programming Bookshelf“ Bundle mit über 25 Arikeln zum Thema Cloud, Big Data, Data Science und Cloud und Network Security.

O’Reilly Data Engineering Bundle

BookStack – Open-Source Wiki Software

BookStack ist eine Open-Source Wiki Software auf Basis des PHP Laravel Frameworks. Neben der einfachen Konfiguration ist das Wiki durchsuchbar, mehrsprachig und kann mit Markdown beschrieben werden.
Cool finde ich die Integration von Diagrammen mit dem eingebauten diagrams.net Editor.
Natürlich basiert die BookStack eigene Dokumentation auch auf BookStack – und somit die beste Demo.

https://github.com/BookStackApp/BookStack

supabase – Open-Source Firebase Alternative

Supabase reiht sich in den Trend von Open-Source Applikationen ein, die, mit ordentlichem Funding ausgestattet, eine Anwendung öffentlich entwickeln und als SaaS Variante anbieten.
Supabase ist ein „Backend-as-a-Service“ Tool, welches Entwicklern die Arbeit deutlich erleichtern soll. Datenbank, API, Authentication System, Storage und eine Management UI – alles kommt aus einer Box. Wer schon mal mit Google’s Firebase gearbeitet hat, der versteht den Nutzen hier sicherlich relativ schnell.
Schaut es euch mal an, das finde ich wirklich spannend.

https://github.com/supabase/supabase

Dendron – Notizen in VSCode

Dendron ist ein Knowledge Management Tool, welches direkt in eurer IDE (VSCode) integriert ist.
Ihr schreibt eure Notizen in Markdown, und diese werden strukturiert abgelegt.
Da ich das nicht so gut erklären kann wie die Videos selbst, schaut sie euch einfach mal an.

https://www.dendron.so/

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x