Ein großes Plakat mit einem Hakenkreuz sorgt am Hauptbahnhof Dortmund für Aufsehen. Ein Unternehmen will damit ein Zeichen gegen Rechtsextremismus setzen.
What you are saying is not new but you don’t seem to grasp the difference in risk when you run someone else’s configured environment on your system vs. manually setting them up yourself. You save a lot of time by using docker images but it comes with a price.
There’s no docker vulnerability
No need to. Like sudo doesn’t need a vulnerability when you let contributors of some repository use it on your box.
Things like snyk exist for a reason but it’s not mitigation, just monitoring.
You should stop telling people that using docker is no security problem because that’s wrong, as it adds attack surface to even the most secure projects. Sure, it saves time but things like OPs news will keep popping up in the future like it did in the past. It can’t be fixed other than just not using it in production. At least build your own containers.
in the same way that installing a malware-laden executable isn’t an OS problem
except no one is doing that. Every major distro hast mechanisms for software supply chain security and reproducible builds.
Do your due diligence, especially if you’re not a developer and thus looking at the Dockerfiles is impractical.
You’re on to something here. If you automate that process, you end up with something we call a package manager.
it’s likely blog posts and users that are at fault.
Exactly. And sincer reviewing Dockerfiles is impractical, there’s no way docker prevents you from shooting your own foot. Distros learned that long ago: Insecure default configs or injected dependencies are a thing of the past there. With docker, those get reintroduced.
adding PPAs or RPM repos, or installing things from source, I’d say that number is a lot higher than 0.
Nothing wrong with that. Unlike docker that’s cryptographically protected toolchain/buildchain/depchain. Thus, a PPA owner is much less likely to get compromised.
Installing things from source in a secure environment is about as safe as you can get, when obtaining the source securely.
Docker contains that nonsense in a way that’s easy to update.
Really? Ist there already a builtin way to update all installed docker containers?
What’s uneasy about apt full-upgrade?
Package managers don’t provide a sandbox.
I didn’t say that.
average user who doesn’t run updates consistently, may add sketchy dependencies, and doesn’t audit things would be better off with Docker.
That’s false.
but they’re less likely to cause widespread issues since each is in its own sandbox.
Also false. Sandbox evasion is very easy and the next local PE kernel vulnerability only weeks away. Also VM evasion is a thing.
Basically one compromised container giving local execution is enough to pwn your complete host.
exactly. Forking for any reason is the essence of FOSS.
Scenarios like OPs were taken care of right from the start. That’s just the legal side, tho. But someone still needs to do the actual work which is why it sometimes fails.
I don’t entirely subscribe to the first paragraph – I’ve never worked at a place so dear to me that spurred me to spend time thinking about its architecture (beyond the usual rants). Other than that, spot on
either earn a good living being a code monkey, or find a job in a small company that has passion
crazy idea: let’s publicly fund FOSS projects so devs working on stuff they like with a passion can actually make a good living and enable sustainable non-profits to hire expertise, marketing and all the stuff a company needs
the result would be actually good software and happy devs
There actually are lots of initiatives (e.g. bigdatastack.eu/european-open-source-initiative ) but it’s still young and there are multiple problems between available public money and contributors actually earning a salary.
Die AG war demnach zu Beginn des Schuljahres 2021/22 gegründet und dann im Juni 2023 verboten worden. “Die Menschen, die die AG verboten haben, verstehen nicht, was sie für uns bedeutet hat”, zitierten die “Nürnberger Nachrichten” eine Ex-Schülerin. Eine andere Schülerin erklärte, als Begründung für das Verbot...
Exemplarisch für den verkommenen akademischen Gedanken im Schulsystem: Nämlich sich mit einem Spezialgebiet beschäftigen, es vertiefen, Thesen aufzustellen, diese diskutieren/belegen/wiederlegen/verteidigen, gewonnene Erkenntnisse wissenschaftlich konform verschriftlichen usw.
Genau DAS sollte die (weiterführende) Schule eigentlich spielerisch vermitteln und fördern.
Egal ob da T-Shirts gefärbt, Stinkbomben gebastelt, Roboter konstruiert oder über irgendein Thema diskutiert wird - solange es pädagogisch wertvoll ist, erwarte ich, dass das Schulsystem jegliches freiwillige Engagement von Schülern bestmöglich unterstützt.
Um 05 Uhr früh wurden besonders am Nordrand einiger Mittelgebirge über 20 Grad gemessen. Das wäre selbst im Hochsommer eine sehr warme Nacht. Anfang April ist das jenseits aller Rekorde. Die Luftmasse über Deutschland ist einfach extrem. /FR kachelmannwetter.com/de/…/20240407-0300z.html
Das wird in Teilen Indiens und Pakistans schon seit tausend Jahren so gemacht und funktioniert prima.
Niemand behauptet, dass man damit ein Kühlhaus bekommt wie mit einer 750W Klimaanlage die durchgehend läuft.
Aber wenn man nicht zu doof für die einfache Anleitung ist und die Luft durch häufiges Lüften trocken hält, kann man, (je nachdem), über ein paar Tage der Bausubstanz des Dachgeschosses durchaus 2-3°C an Wärmeenergie entziehen, was an heissen Tagen definitiv einen Unterschied macht.
In deutschen Wohnungen produzieren sie normalerweise rasch tropische Schwüle.
Das stimmt, aber da es immer ein Feuchtigkeitsgefälle nach aussen gibt, funktioniert das mit Lüften ganz gut.
Mit “knochentrockener” Luft funktioniert es natürlich am besten aber Deutschland ist nicht der Amazonas und hier macht es zumindest für mich an heissen Tagen viel Unterschied und kost praktisch nix.
Wenn die Sommer noch heisser werden, kommt Klimaanlage mit PV her.
It’s always good to learn new stuff but in terms of productivity: Don’t attempt to be a programmer. Rather attempt to write better research code (clean up code, revision control, better commenting, maybe testing…)
Rather try to improve cooperation with programmers, if necessary. Close cooperation, asking stupid questions instead of making assumptions etc. makes the process easy for both of you.
Also don’t be afraid to consult different programmers since beyond a certain level, experience and expertise in programming is vastly fragmented.
Experienced programmers mostly suck on your field and vice versa and that’s a good thing.
25 years in the industry here. As I said there’s nothing against learning something new but I doubt it’s as easy as “leveling up”.
Both fields profit a lot from experience and it’s as much gain for a scientist do become a software dev as an architect becoming a carpenter. It’s simply not productive.
there is so much time lost in research institutes because of shoddy programming
Well, that’s the way it is. Scientific code and production code have different requirements. To me that sounds like “that machine prototype is inefficient - just skip the prototype next time and build the real thing right away.”
U.S. agencies warn of Phobos ransomware attacks on government entities and critical infrastructure since May 2019. The attacks exploit vulnerabilities and use advanced techniques for persistence and elevated privileges. Despite the high ransom costs, paying does not prevent new attacks, with 78% of victims being attacked again.
why would using a cdn I don’t control, from a non-contracted 3rd party and their “PageShield” app reduce my supply chain attack risk?
Am I not just increasing the attack surface since now my visitors can be victim not only by my servers being compromised but now also by the 3rd party being compromised?
Wir dürfen an keiner Stelle und an keinem Ort mit den Zielen, die dieses System erreicht, verknüpft sein", sagte Scholz bei der dpa-Chefredaktionskonferenz. Deshalb stehe dies nicht als Handlungsoption als Nächstes auf der Tagesordnung....
Software can only be good, when enough people WANT to work on it and with it along the complete life-cycle. There’s a critical amount of developers/contributors/testers and (feedback providing) users.
Hence a lot of critical consumer stuff is based on popular opensource.
Also, we’re entering an aera where the difference between hardware/firmware/software gets increasingly blurred. So all of this applies to more and more hardware, too.
Zumindest bei deren veganer Streichleberwurst schmeckt man sowieso keinen Unterschied mehr zur Fleischvariante, wenn man es nicht direkt nebeneinander vergleicht.
Hakenkreuz im Mülleimer: Riesiges Plakat sorgt am Hauptbahnhof Dortmund für Aufsehen (www.ruhrnachrichten.de) German
Ein großes Plakat mit einem Hakenkreuz sorgt am Hauptbahnhof Dortmund für Aufsehen. Ein Unternehmen will damit ein Zeichen gegen Rechtsextremismus setzen.
Millions of Docker repos found pushing malware, phishing sites (www.bleepingcomputer.com)
Corporate Open Source is Dead (www.jeffgeerling.com)
I love programming but I hate the programming industry (www.deathbyabstraction.com)
I don’t entirely subscribe to the first paragraph – I’ve never worked at a place so dear to me that spurred me to spend time thinking about its architecture (beyond the usual rants). Other than that, spot on
Bayern: Gymnasium verbietet queere AG (www.queer.de) German
Die AG war demnach zu Beginn des Schuljahres 2021/22 gegründet und dann im Juni 2023 verboten worden. “Die Menschen, die die AG verboten haben, verstehen nicht, was sie für uns bedeutet hat”, zitierten die “Nürnberger Nachrichten” eine Ex-Schülerin. Eine andere Schülerin erklärte, als Begründung für das Verbot...
LockBit 3.0 Variant Generates Custom, Self-Propagating Malware (www.darkreading.com)
Warme Sommernacht im April (meteo.social) German
Um 05 Uhr früh wurden besonders am Nordrand einiger Mittelgebirge über 20 Grad gemessen. Das wäre selbst im Hochsommer eine sehr warme Nacht. Anfang April ist das jenseits aller Rekorde. Die Luftmasse über Deutschland ist einfach extrem. /FR kachelmannwetter.com/de/…/20240407-0300z.html
TIL Pope Leo XIII awarded a Vatican gold medal to the creator of his favourite brand of cocaine-infused wine and also appeared on a poster endorsing it. (en.wikipedia.org)
Any tips to help a scientist become a better programmer?
Hey there!...
Phobos Ransomware Aggressively Targeting U.S. Critical Infrastructure (thehackernews.com)
U.S. agencies warn of Phobos ransomware attacks on government entities and critical infrastructure since May 2019. The attacks exploit vulnerabilities and use advanced techniques for persistence and elevated privileges. Despite the high ransom costs, paying does not prevent new attacks, with 78% of victims being attacked again.
polyfill.io now available on cdnjs: reduce your supply chain risk (blog.cloudflare.com)
Scholz begründet Nein zu "Taurus"-Lieferung (www.tagesschau.de) German
Wir dürfen an keiner Stelle und an keinem Ort mit den Zielen, die dieses System erreicht, verknüpft sein", sagte Scholz bei der dpa-Chefredaktionskonferenz. Deshalb stehe dies nicht als Handlungsoption als Nächstes auf der Tagesordnung....
Kernfusion: Bayern macht sich auf den Weg (www.heise.de) German
Konjunktur in Deutschland: Hoher Krankenstand offenbar Ursache der Rezession (www.spiegel.de) German
Zu viel Andrang: Münchner Großdemo gegen rechts abgebrochen (www.br.de) German
Archivierte Version (15:30)
Rügenwalder Mühle stellt beliebtes Produkt ein – künftig gibt es nur noch die vegane Version (www.t-online.de) German