Wenn man Devcontainer nutzt und die Erweiterung darin installiert wird, wird diese dann innerhalb vom container ausgeführt oder wird eigentlich nur der Code aus dem Container geladen und dann im Host System von VSCode ausgeführt? Je nachdem könnte an da vielleicht die Folgen dann begrenzen.
Diese Infrastruktur-Angriffe sind aktuell sehr gaengig, macht ja auch vor Linux (bzw. OpenSource) nicht halt, siehe xz und diverse Javascript-Modul Attacken.
Ich mag die Serie so wie sie ist: Auf Deutsch. Wenn es um die Reichweite geht: Eventuell eine Zeit beide Sprachen parallel machen und dann die Statistiken entscheiden lassen?
Vielen Dank Martin, für dein informatives Video. Wow das sowas über github möglich ist, dass kann noch richtig für Ärger sorgen. Und btw "if we sue everyone we won`t be hacked anymore" 👉😉
Auf Deutsch☺️ Bei komplexen technischen Themen bevorzuge ich Deutsch, da ich ansonsten die wichtige bzw. spannende Inhalte nicht verstehe. 🙈 Ich bin mir nicht sicher, wie gut das funktionieren würde, aber es könnte möglich sein, eine zweite Tonspur hinzuzufügen, vielleicht mithilfe einer KI, um eine englische Tonspur zu erstellen und das Video ins Englische zu übersetzen. Ich habe gesehen, dass MrBeast so etwas macht.
Honestly, I support the move to English. It's the essential language for deep dives into these technical subjects. More content that bridges understandable English with the professional fluency required in this field - especially content tailored to German native speakers - would be a huge help for those wanting to improve their technical English. I think you've found a niche with your English content. Adding bilingual English/German captions would make it even more valuable. I'd happily volunteer to help with that, and AI tools could streamline the process. This is my perspective as a native German speaker. Refinded with Gemini Advanced.
My original text before revision by AI: Tbh, I kinda like the switch to English. It's the English you need to learn for deep diving in such topics. More content oriented to close the gap between an understandable English and a professional English, especially designed from and for German native speaker, can be very supportive for people who wanna learn English for this reason. So, I think there's a niche for your content in English. One major thing to even improve this can be the implementation of bilingual captions or captions for English and German. I like to volunteer for that kinda work. In addition, AI can be an awesome tool to make this job quite efficiently and easily. This is my opinion as an native German speaker.
go for English. You're english is good but try to explain what you mean when you use austrian dialect 😂 (I as a german native speaker, with a southern dialect doesn't understood you)
programmierlösung hab ich keine - aber grad bei einem kunden erlebt, dass es recht blöd ist, wenn man auf dem desktop ein xls file namens "passwörter" hat (natürlich unverschlüsselt) und dann der "hekpdesk" von "amazon" dir parallel zum fake-anruf hilft dein "gesperrtes" konto per andydesk zu "entsperren" und dann deine ganzen passwörter abgezogen werden... gegen diesen menschlichen faktor hilft auch keine programmierung...
Deine Zahnbürste sendet aber fleißig BLE Daten, so dass dein Nachbar eine Statistik über dein Zahnputzverhalten anfertigen kann. Man könnte so auch Anwesenheiten tracken. In einem Mehrfamilienhaus ist das sehr ergiebig. Das funktioniert in Home Assistent fast automatisch.
Mein Jenkins inkl. aller Plugins wird standardmäßig alle 7 Tage aktualisiert, daher ist die Sicherheitslücke schon längst gepatcht. Auch wenn die automatischen Plugin Updates immer wieder mal zu Problemen führen kann ich das Vorgehen nur weiterempfehlen.
Für mich sieht das so aus, als wäre ein User aus dem Testtenant als Guestuser im Produktivtenant. Dort kann man auch dem Guestuser administrative rollen vergeben. Ähnliches hatten wir bei einem PoC mal konfiguriert. Wichtig ist dass auch der Testtenant gleichgezogen wird wie der Produktiv-Tenant, ansonsten kann man auch nicht richtig testen. Daher auch MFA, location based Conditional Access etc, alles lizenzieren und entsprechend konfigurieren und aktivieren. Genauso könnte man zB dem Guest user, sollte er benötigt werden, die Adminrolle im Prod, via PIM vergeben. (Priviledged Identity Management), dort könnte auch für Adminrolle XY konfiguriert werden, dass der User diese nach 8 Stunden wieder aktivieren müsste - hierzu kann man für die Aktivierung auch wieder MFA enforcen.
Renovate ftw. Die einzige Nachhaltige Möglichkeit mit Updates umzugehen ist eine entsprechend automatisierte CI/CD pipeline. Wenn eine Dependency ein Update hat muss automatisch geprüft werden ob mit dem Update alle Tests (Unit, Integration, Acceptance, ...) erfüllt sind und wenn dem so ist kann die Dependency aktualisiert werden. Alles was sonst noch irgendwie schief gehen kann muss man ohne hin abdecken mit Monitoring, Rollback etc. Zwang finde ich persönlich vielleicht zu hart, aber evtl. braucht 's das da sich sonst nichts ändert in unserer Branche. Denn alles was benötigt wird um automatische Updates sicher zu machen ist eine Grundvoraussetzung für das schnelle Entwickeln von Qualitativer Software.
fühlte mich bei deinem eingangs-statement gleich als mirkodoof basher angesprochen... aber ich sags ehrlich: ich beneide keinen der sys-admins, die diesen ganzen wahnsinn handlen müssen. der kampf gegen eine "hydra" wie du sie nennst ist hier sicher eine untertreibung... will mit keinem dieser menschen tauschen! und zum thema auto-updates kann ich nur sagen, dass ich sehr (!) viele kunden habe, bei denen der bildschirm nach einem (automatschen) update schwarz bleibt oder andere dinge einfach nicht funzen... meine empfehlung ist da eher zum "late adopter" zu werden. betrifft hier natürlich eher endkunden...
Die Entscheidung für automatische Updates erfordert eine Abwägung von Sicherheitsvorteilen und Risiken. In kleinen und mittleren Betrieben (KMU) sowie bei Konzernen können umfassende Testumgebungen und klare Kommunikation mit Drittanbietern aufgrund begrenzter Ressourcen oder komplexer Strukturen problematisch sein. Automatische Updates können zudem den möglichen Ausfall von Systemen durch Inkompatibilität unvorhersehbar machen, da die Kontrolle über Ressourcen im Fehlerfall eingeschränkt ist. Ein ausgewogener Ansatz bleibt daher entscheidend, um Sicherheitsanforderungen zu erfüllen und gleichzeitig die Kontrolle über mögliche Auswirkungen zu behalten.
Die Bewertung von automatischen Updates als essentielles Feature im Rahmen von DevSecOps berücksichtigt mehrere Aspekte. Befürworter heben die Sicherheitsvorteile hervor, insbesondere die schnelle Schließung von Sicherheitslücken und den Schutz vor Bedrohungen, was in sicherheitskritischen Umgebungen und für Compliance-Anforderungen entscheidend ist. Automatische Updates tragen dazu bei, die Angriffsfläche zu minimieren und zeitnahe Sicherheitsaktualisierungen zu gewährleisten, was die Einhaltung von Compliance-Richtlinien erleichtern kann. Gleichzeitig bestehen jedoch Bedenken hinsichtlich der Komplexität und möglicher Abhängigkeiten, insbesondere in großen Organisationen. Automatische Updates könnten Kompatibilitätsprobleme verursachen und unvorhersehbare Ausfälle mit sich bringen. Der Mangel an Kontrolle über den Update-Prozess wird in Umgebungen ohne umfassende Testmöglichkeiten als kritisch betrachtet. Die individuellen Anforderungen einer Organisation, ihre Branche und die Einhaltung von Compliance-Standards spielen eine zentrale Rolle bei der Entscheidung über die Notwendigkeit automatischer Updates als essentielles DevSecOps-Feature. Daher ist eine ausgewogene Strategie erforderlich, die Sicherheitsanforderungen, Compliance und den individuellen Kontext angemessen berücksichtigt.
Andere Firmen zahlen Geld für die Entdeckung, die verklagen einen weil man unter anderen KLARTEXTPASSWÖRTER VON DER BINÄRDATEI MIT NOTEPAD.EXE LESEN kann.
Ich: Linux is pretty secure. Du hast offizielle Quellen, aus denen du deine Programme signiert beziehst. Da installiert man sich nicht so leicht versehentlich Maleware aus dem Web. Ich, wenn GitLab oder GitHub eine Schwachstelle hat und Accounts übernommen werden könnten: *Herz setzt kurz aus* Schock lass nach! Das ist ja extrem gefährlich, selbst für Linux. Lection learned: Eine 100%ige Sicherheit gibt's im Internet nicht. Sicherheit ist immer nur so stark wie die schwächste Stelle. Daher sollten bei allen die Alarmglocken schlagen, wenn bei GitHub, GitLab und Co Sicherheitslücken sind und nochmal verschärft die eigene Systeme überwacht.