foobugs / René Oelke
@foobugs.com
Never trust a running system!
#Freelance: 💚 #Sustainability, 🛡 #Security, 👌 #Quality, 🤖 #DevOps, ⛅️ #Cloud
#devops #devsecops #appsec #greencode #greenops
https://foobugs.com
https://codeberg.org/reneoelke
#Freelance: 💚 #Sustainability, 🛡 #Security, 👌 #Quality, 🤖 #DevOps, ⛅️ #Cloud
#devops #devsecops #appsec #greencode #greenops
https://foobugs.com
https://codeberg.org/reneoelke
🛡️ Der letzte Angriff auf das #Node / #NPM Ökosystem betrifft mittlerweile über 500 Node Packages.
Basierend auf #mani hier ein kleines Open Source Projekt zum Finden kompromittierter Dependencies in euren Repos.
codeberg.org/reneoelke/fi...
#security #development #shaihulud
Basierend auf #mani hier ein kleines Open Source Projekt zum Finden kompromittierter Dependencies in euren Repos.
codeberg.org/reneoelke/fi...
#security #development #shaihulud
find-compromised-dependencies
find-compromised-packages
codeberg.org
September 21, 2025 at 2:46 PM
🛡️ Der letzte Angriff auf das #Node / #NPM Ökosystem betrifft mittlerweile über 500 Node Packages.
Basierend auf #mani hier ein kleines Open Source Projekt zum Finden kompromittierter Dependencies in euren Repos.
codeberg.org/reneoelke/fi...
#security #development #shaihulud
Basierend auf #mani hier ein kleines Open Source Projekt zum Finden kompromittierter Dependencies in euren Repos.
codeberg.org/reneoelke/fi...
#security #development #shaihulud
🗓️ Vom 14. bis 15. Mai findet wieder die wichtigste Konferenz Deutschlands für uns freiberuflich Selbständige statt, die Freelance Unlocked 2025. Besonders spannend finde ich The Unconference am 2. Tag (Donnerstag, 15. Mai). Freu mich auf die Themen und Community.
#freelanceunlocked #fun25
#freelanceunlocked #fun25
May 1, 2025 at 8:03 AM
🗓️ Vom 14. bis 15. Mai findet wieder die wichtigste Konferenz Deutschlands für uns freiberuflich Selbständige statt, die Freelance Unlocked 2025. Besonders spannend finde ich The Unconference am 2. Tag (Donnerstag, 15. Mai). Freu mich auf die Themen und Community.
#freelanceunlocked #fun25
#freelanceunlocked #fun25
ebay ändert seine AGBs, u.a. mit einer default aktivierten Option "Verwendung personenbezogener Daten für die Entwicklung und das Training von KI".
Schaut am besten mal selbst in euren Kontoeinstellungen (accountsettings.ebay.de/ai-preferences), wo ihr die Option deaktivieren könnt. ✅
Schaut am besten mal selbst in euren Kontoeinstellungen (accountsettings.ebay.de/ai-preferences), wo ihr die Option deaktivieren könnt. ✅
March 28, 2025 at 3:52 PM
ebay ändert seine AGBs, u.a. mit einer default aktivierten Option "Verwendung personenbezogener Daten für die Entwicklung und das Training von KI".
Schaut am besten mal selbst in euren Kontoeinstellungen (accountsettings.ebay.de/ai-preferences), wo ihr die Option deaktivieren könnt. ✅
Schaut am besten mal selbst in euren Kontoeinstellungen (accountsettings.ebay.de/ai-preferences), wo ihr die Option deaktivieren könnt. ✅
Thema Frontend Security (CSP, CORS, HSTS etc.). Kennt ihr schon das @mozilla.org HTTP Observatory (developer.mozilla.org/en-US/observ...)? Sehr nützliches Tool! Damit könnt ihr eure Seiten scannen und konkrete Lösungshinweise umsetzen (inkl. Verlinkung zu technischen Details).
HTTP Header Security Test - HTTP Observatory | MDN
Test your site’s HTTP headers, including CSP and HSTS, to find security problems and get actionable recommendations to make your website more secure. Test other websites to see how you compare.
developer.mozilla.org
March 26, 2025 at 11:58 AM
Thema Frontend Security (CSP, CORS, HSTS etc.). Kennt ihr schon das @mozilla.org HTTP Observatory (developer.mozilla.org/en-US/observ...)? Sehr nützliches Tool! Damit könnt ihr eure Seiten scannen und konkrete Lösungshinweise umsetzen (inkl. Verlinkung zu technischen Details).
🔥 Achtung Chrome-Windows-Anwender, schnell updaten! Betrifft alle Chromium-basierten Browser (Edge, Brave …).
Die kritischen Sicherheitsprobleme mit Chrome (und Chromium-Browsern) und Windows häufen sich. Denkt über Alternativen nach (Firefox, Linux, macOS). 🤔
www.heise.de/news/Jetzt-u...
Die kritischen Sicherheitsprobleme mit Chrome (und Chromium-Browsern) und Windows häufen sich. Denkt über Alternativen nach (Firefox, Linux, macOS). 🤔
www.heise.de/news/Jetzt-u...
Jetzt updaten! Zero-Day-Sicherheitslücke in Chrome wird angegriffen
Google hat dem Webbrowser Chrome ein Update spendiert. Es schließt eine Zero-Day-Lücke, die bereits angegriffen wird.
www.heise.de
March 26, 2025 at 9:54 AM
🔥 Achtung Chrome-Windows-Anwender, schnell updaten! Betrifft alle Chromium-basierten Browser (Edge, Brave …).
Die kritischen Sicherheitsprobleme mit Chrome (und Chromium-Browsern) und Windows häufen sich. Denkt über Alternativen nach (Firefox, Linux, macOS). 🤔
www.heise.de/news/Jetzt-u...
Die kritischen Sicherheitsprobleme mit Chrome (und Chromium-Browsern) und Windows häufen sich. Denkt über Alternativen nach (Firefox, Linux, macOS). 🤔
www.heise.de/news/Jetzt-u...
Docker Hub reduziert weiter die freien, anonymen Pull Limits. Das hat Auswirkungen auf eure Pipelines. Bevor es Probleme gibt, solltet ihr handeln.
Docker Hub erlaubt nicht authentifizierten Benutzern ab April nur noch zehn Pulls pro Stunde. Auch Personal-Konten und abhängige Dienste werden eingeschränkt. #Docker
Neue Pull-Limits bei Docker Hub – nur 10 Pulls pro Stunde für manche Kunden
Docker Hub erlaubt nicht authentifizierten Benutzern ab April nur noch zehn Pulls pro Stunde. Auch Personal-Konten und abhängige Dienste werden eingeschränkt.
www.heise.de
March 26, 2025 at 9:33 AM
Docker Hub reduziert weiter die freien, anonymen Pull Limits. Das hat Auswirkungen auf eure Pipelines. Bevor es Probleme gibt, solltet ihr handeln.
Reposted by foobugs / René Oelke
Ingress-nginx CVE-2025-1974: What You Need to Know-
Ingress-nginx CVE-2025-1974: What You Need to Know
Today, the ingress-nginx maintainers have released patches for a batch of critical vulnerabilities that could make it easy for attackers to take over your Kubernetes cluster. If you are among the over...
kubernetes.io
March 25, 2025 at 6:06 PM
Ingress-nginx CVE-2025-1974: What You Need to Know-
Tolle Deep Dive Folge der @programmier.bar zum Thema #Codeberg!
Auf geht's. Account erstellt. Hallo #Codeberg!
www.programmier.bar/podcast/deep...
Auf geht's. Account erstellt. Hallo #Codeberg!
www.programmier.bar/podcast/deep...
Deep Dive 174 – Codeberg mit Andreas Shi... | programmier.bar
Quasi alle Entwickler:innen da draußen nutzen Code-Versionierungssysteme. Alle haben einen GitHub-Account – manche nutzen Alternativen wie GitLab od...
www.programmier.bar
March 21, 2025 at 2:44 PM
Tolle Deep Dive Folge der @programmier.bar zum Thema #Codeberg!
Auf geht's. Account erstellt. Hallo #Codeberg!
www.programmier.bar/podcast/deep...
Auf geht's. Account erstellt. Hallo #Codeberg!
www.programmier.bar/podcast/deep...
Angriffe auf die Supply Chain der Software-Entwicklung sind vielfältig und hochgradig kritisch.
Hier ein aktuelles Beispiel, um per komprimierter GitHub Action an Secrets fremder Pipelines zu gelangen. Betroffene sollten trotz Mitigation ihre Buildlogs checken.
www.heise.de/news/Attacke...
Hier ein aktuelles Beispiel, um per komprimierter GitHub Action an Secrets fremder Pipelines zu gelangen. Betroffene sollten trotz Mitigation ihre Buildlogs checken.
www.heise.de/news/Attacke...
Attacke über GitHub-Action-Tool spähte Secrets aus und legte sie in Logdatei ab
Das Open-Source-Tool tjactions/changed-files hat im CI-Prozess mit GitHub Actions nach sensiblen Informationen gesucht und sie im Build-Log gespeichert.
www.heise.de
March 20, 2025 at 2:12 PM
Angriffe auf die Supply Chain der Software-Entwicklung sind vielfältig und hochgradig kritisch.
Hier ein aktuelles Beispiel, um per komprimierter GitHub Action an Secrets fremder Pipelines zu gelangen. Betroffene sollten trotz Mitigation ihre Buildlogs checken.
www.heise.de/news/Attacke...
Hier ein aktuelles Beispiel, um per komprimierter GitHub Action an Secrets fremder Pipelines zu gelangen. Betroffene sollten trotz Mitigation ihre Buildlogs checken.
www.heise.de/news/Attacke...
Vorsicht bei Online-Dateikonvertern!
Eigentlich braucht es derartige Warnungen nicht mehr, sollte man meinen. Anscheinend ist es immer noch ein lohnendes Geschäft.
Virenscanner helfen wenig weiter. Die beste Empfehlung ist: Nutzt keine derartigen Angebote!
www.heise.de/news/Malware...
Eigentlich braucht es derartige Warnungen nicht mehr, sollte man meinen. Anscheinend ist es immer noch ein lohnendes Geschäft.
Virenscanner helfen wenig weiter. Die beste Empfehlung ist: Nutzt keine derartigen Angebote!
www.heise.de/news/Malware...
FBI-Warnung: Betrügerische Online-Dateikonverter schleusen Trojaner in Dokumente
Wer kostenlose Onlinedienste zum Umwandeln von etwa Textdateien nutzt, kann sich Malware einfangen. Darauf weist das FBI hin.
www.heise.de
March 19, 2025 at 1:31 PM
Vorsicht bei Online-Dateikonvertern!
Eigentlich braucht es derartige Warnungen nicht mehr, sollte man meinen. Anscheinend ist es immer noch ein lohnendes Geschäft.
Virenscanner helfen wenig weiter. Die beste Empfehlung ist: Nutzt keine derartigen Angebote!
www.heise.de/news/Malware...
Eigentlich braucht es derartige Warnungen nicht mehr, sollte man meinen. Anscheinend ist es immer noch ein lohnendes Geschäft.
Virenscanner helfen wenig weiter. Die beste Empfehlung ist: Nutzt keine derartigen Angebote!
www.heise.de/news/Malware...
Als ich noch Keepass genutzt habe, war mir eine gute und vertrauenswürdige App sehr wichtig. Mit Strongbox hatte ich auch geliebäugelt. Nun wird Strongbox verkauft, was einige User wohl recht bedenklich finden. 1/2
www.heise.de/news/Keepass...
www.heise.de/news/Keepass...
Keepass-Client Strongbox aufgekauft – Nutzer beunruhigt
Der beliebte Keepass-Client für Apple-Geräte gehört nun einem Entwickler-Team, dessen vorherige Einkäufe erhebliche Kritik wie Verunsicherung auslösten.
www.heise.de
March 16, 2025 at 2:40 PM
Als ich noch Keepass genutzt habe, war mir eine gute und vertrauenswürdige App sehr wichtig. Mit Strongbox hatte ich auch geliebäugelt. Nun wird Strongbox verkauft, was einige User wohl recht bedenklich finden. 1/2
www.heise.de/news/Keepass...
www.heise.de/news/Keepass...
Da könnte ein größeres Security-Problem draus werden. Diese ESP32-Chips sind massenhaft in diversen Geräten verbaut.
Wäre toll, wenn es irgendwann eine Liste mit möglichen betroffenen Produkten gäbe. heise.de/-10309527
Wäre toll, wenn es irgendwann eine Liste mit möglichen betroffenen Produkten gäbe. heise.de/-10309527
Undokumentierte Befehle reißen Sicherheitsleck in Bluetooth von ESP32
Berichte über undokumentierte Bluetooth-HCI-Befehle von ESP32-Chips machen die Runde. Sie reißen eine Sicherheitslücke auf.
heise.de
March 9, 2025 at 6:18 PM
Da könnte ein größeres Security-Problem draus werden. Diese ESP32-Chips sind massenhaft in diversen Geräten verbaut.
Wäre toll, wenn es irgendwann eine Liste mit möglichen betroffenen Produkten gäbe. heise.de/-10309527
Wäre toll, wenn es irgendwann eine Liste mit möglichen betroffenen Produkten gäbe. heise.de/-10309527
Reposted by foobugs / René Oelke
Stoppt die #Scheinselbstständigkeit!
Fehlende Rechtssicherheit schadet der Wirtschaft: Selbstständige geben auf oder wandern ab, Unternehmen finden keine Fachkräfte. Wir fordern klare Regeln für stabile Rahmenbedingungen!
#Freelancer
Fehlende Rechtssicherheit schadet der Wirtschaft: Selbstständige geben auf oder wandern ab, Unternehmen finden keine Fachkräfte. Wir fordern klare Regeln für stabile Rahmenbedingungen!
#Freelancer
Stoppt die Scheinselbstständigkeit!
Unsichere Regeln gefährden Freelancer und Unternehmen. Wir fordern klare Kriterien, Wahlfreiheit und praxisgerechte Lösungen: Wir machen es Dir einfach, was zu ändern: In nur 2 Minuten Brief an deine…
www.stoppt-scheinselbststaendigkeit.de
March 7, 2025 at 5:30 PM
Stoppt die #Scheinselbstständigkeit!
Fehlende Rechtssicherheit schadet der Wirtschaft: Selbstständige geben auf oder wandern ab, Unternehmen finden keine Fachkräfte. Wir fordern klare Regeln für stabile Rahmenbedingungen!
#Freelancer
Fehlende Rechtssicherheit schadet der Wirtschaft: Selbstständige geben auf oder wandern ab, Unternehmen finden keine Fachkräfte. Wir fordern klare Regeln für stabile Rahmenbedingungen!
#Freelancer
LLMs bieten so unfassbar viele und flexible Angriffsmöglichkeiten, dass die Ausmaße heute noch gar nicht abzuschätzen sind. Danke an die @programmier.bar für diesen wertvollen Deep Dive.
Kann man einem Chatbot geheime Infos entlocken? Oder interessiert euch, wie ihr das LLM-Feature eurer App besser absichern könnt? In unserem Deep Dive mit Georg Dresler über Prompt Injection sprechen wir über die größten Schwachstellen in KI-Systemen:
www.programmier.bar/podcast/deep...
www.programmier.bar/podcast/deep...
March 4, 2025 at 7:01 PM
LLMs bieten so unfassbar viele und flexible Angriffsmöglichkeiten, dass die Ausmaße heute noch gar nicht abzuschätzen sind. Danke an die @programmier.bar für diesen wertvollen Deep Dive.
Es wird immer schwieriger, bösartige Repos von nützlichen zu unterscheiden. Mit Hilfe von KI scheinen Angreifer eine sehr effektive Methode gefunden zu haben.
Daher gilt heutzutage um so mehr: Nehmt euch Zeit bei der Prüfung der Repos, die ihr nutzen wollt. 🧐
www.heise.de/news/Boesart...
Daher gilt heutzutage um so mehr: Nehmt euch Zeit bei der Prüfung der Repos, die ihr nutzen wollt. 🧐
www.heise.de/news/Boesart...
Bösartiger Code in 200 GitHub-Repositories stiehlt knapp 500.000 Euro
Eine Malware-Kampagne in GitHub-Repositories hat es auf Bankdaten und Bitcoin-Wallets abgesehen. Der Schadcode wird oft erst zur Build-Zeit ausgeführt.
www.heise.de
February 27, 2025 at 12:51 PM
Es wird immer schwieriger, bösartige Repos von nützlichen zu unterscheiden. Mit Hilfe von KI scheinen Angreifer eine sehr effektive Methode gefunden zu haben.
Daher gilt heutzutage um so mehr: Nehmt euch Zeit bei der Prüfung der Repos, die ihr nutzen wollt. 🧐
www.heise.de/news/Boesart...
Daher gilt heutzutage um so mehr: Nehmt euch Zeit bei der Prüfung der Repos, die ihr nutzen wollt. 🧐
www.heise.de/news/Boesart...
Reposted by foobugs / René Oelke
VSCode extensions with 9 million installs pulled over security risks
VSCode extensions with 9 million installs pulled over security risks
Microsoft has removed two popular VSCode extensions, 'Material Theme - Free' and 'Material Theme Icons - Free,' from the Visual Studio Marketplace for allegedly containing malicious code. [...]
www.bleepingcomputer.com
February 26, 2025 at 7:25 PM
VSCode extensions with 9 million installs pulled over security risks
Linus würde im Falle von Rust-Code von seiner "Richtlinienkompetenz" Gebrauch machen. 💪
www.heise.de/news/Linus-T...
www.heise.de/news/Linus-T...
Linus Torvalds würde Maintainer-Veto zu Rust-Kernel-Code übergehen
Der Begründer des Linux-Kernels will Betreuer des Linux-Kernel-Codes übergehen, die sich gegen Rust-Unterstützung in ihrem Subsystem sträuben.
www.heise.de
February 19, 2025 at 5:38 PM
Linus würde im Falle von Rust-Code von seiner "Richtlinienkompetenz" Gebrauch machen. 💪
www.heise.de/news/Linus-T...
www.heise.de/news/Linus-T...
Reposted by foobugs / René Oelke
In der aktuellen OpenSSH-Version haben die Entwickler zwei Schwachstellen geschlossen. Attacken sind aber an bestimmte Voraussetzungen gebunden. #Security
Sicherheitsupdate OpenSSH: Angreifer können sich in Verbindungen einklinken
In der aktuellen OpenSSH-Version haben die Entwickler zwei Schwachstellen geschlossen. Attacken sind aber an bestimmte Voraussetzungen gebunden.
www.heise.de
February 19, 2025 at 9:09 AM
In der aktuellen OpenSSH-Version haben die Entwickler zwei Schwachstellen geschlossen. Attacken sind aber an bestimmte Voraussetzungen gebunden. #Security
I like #AsciiDoc. The adoc Studio also makes a very good impression. Would be nice if it were available in #SetApp at some point.
Have you heard of AsciiDoc? Some refer to it as "Markdown on Steroids" 💪
Marvin from ProjectWizards wrote an excellent guest post that demonstrates how AsciiDoc combines simplicity with advanced features.
Check it out!
www.git-tower.com/blog/asciido...
Marvin from ProjectWizards wrote an excellent guest post that demonstrates how AsciiDoc combines simplicity with advanced features.
Check it out!
www.git-tower.com/blog/asciido...
Markdown's Big Brother: Say Hello to AsciiDoc
Learn how AsciiDoc combines simplicity with advanced features. Create documentation that stands out, saves time, and ensures clarity.
www.git-tower.com
February 17, 2025 at 4:27 PM
Git Worktrees, sehr nützliches Feature! Habe ich bisher nie wirklich genutzt (vermutlich, weil ich Git seit Tower immer weniger im Terminal nutze 🤫). Falls jemand aktiv mit Git Worktrees arbeitet, bin ich an nützlichen Infos und Erfahrungen interessiert.
BTW: Tower for Mac 12.5 introduces Git Worktree support, making worktree management as simple as a couple of clicks!
Learn all about it 👉 www.git-tower.com/blog/tower-...
Learn all about it 👉 www.git-tower.com/blog/tower-...
February 17, 2025 at 1:05 PM
Git Worktrees, sehr nützliches Feature! Habe ich bisher nie wirklich genutzt (vermutlich, weil ich Git seit Tower immer weniger im Terminal nutze 🤫). Falls jemand aktiv mit Git Worktrees arbeitet, bin ich an nützlichen Infos und Erfahrungen interessiert.
Reposted by foobugs / René Oelke
Über eine unsichere Deserialisierung konnten Angreifer auf Wazuh-Servern eigenen Code aus der Ferne ausführen. Der Angriff gelang auch über gekaperte Agenten. #Security
Opensource-Sicherheitsplattform: Kritische Lücke in Wazuh erlaubte Codeschmuggel
Über eine unsichere Deserialisierung konnten Angreifer auf Wazuh-Servern eigenen Code aus der Ferne ausführen. Der Angriff gelang auch über gekaperte Agenten.
www.heise.de
February 12, 2025 at 8:35 AM
Über eine unsichere Deserialisierung konnten Angreifer auf Wazuh-Servern eigenen Code aus der Ferne ausführen. Der Angriff gelang auch über gekaperte Agenten. #Security
Wie hält man sich als Open Source Maintainer an Sanktionsregeln? Wie schützt man sich vor rechtlichen Problemen?
Wichtiges, aber auch schwieriges Thema. Open Source Engagement wird dadurch nicht einfacher und attraktiver. Guter Support ist nötig.
socket.dev/blog/linux-f...
Wichtiges, aber auch schwieriges Thema. Open Source Engagement wird dadurch nicht einfacher und attraktiver. Guter Support ist nötig.
socket.dev/blog/linux-f...
Linux Foundation Warns Open Source Developers: Compliance wi...
The Linux Foundation is warning open source developers that compliance with global sanctions is mandatory, highlighting legal risks and restrictions o...
socket.dev
February 8, 2025 at 4:32 PM
Wie hält man sich als Open Source Maintainer an Sanktionsregeln? Wie schützt man sich vor rechtlichen Problemen?
Wichtiges, aber auch schwieriges Thema. Open Source Engagement wird dadurch nicht einfacher und attraktiver. Guter Support ist nötig.
socket.dev/blog/linux-f...
Wichtiges, aber auch schwieriges Thema. Open Source Engagement wird dadurch nicht einfacher und attraktiver. Guter Support ist nötig.
socket.dev/blog/linux-f...
Solche Szenarien klangen bis vor Kurzem noch utopisch bzw. überzogen. Wir sollten handeln. Jetzt! Es gibt europäische Alternativen zu US-Diensten, siehe european-alternatives.eu
February 5, 2025 at 5:44 PM
Solche Szenarien klangen bis vor Kurzem noch utopisch bzw. überzogen. Wir sollten handeln. Jetzt! Es gibt europäische Alternativen zu US-Diensten, siehe european-alternatives.eu