Wochennotiz Nr. 49

Posted on Sa 16 November 2024 in Blog

Wochennotiz 49 (2024.46)

Diese Woche habe ich gelernt, man sollte immer schauen, ob es sich um mehrteilige Episoden handelt, bevor man sich eine Serie für die Zugfahrt auf sein Tablet lädt und dann feststellt, die letzte heruntergeladene Episode endet mit einem Cliffhanger ;-)

Die Woche hat eine neue Postgres Minor-Version gebracht. Und zeitgleich eine Ankündigung, dass es nächste Woche wieder eine Veröffentlichung gibt, da es Probleme mit dieser Minor-Version gibt.

Inhalt:

Postgres und die Datenwelt

Im Release Monitor ist die Veröffentlichung der neuen Version von pgvector erwähnt. Bei Nile gibt es einen längeren Beitrag, der erklärt welche Verbesserungen es gab: Announcing: pgvector 0.8.0 released and available on Nile.

Postgres veröffentlicht neue Versionen von 12 bis 17. Wobei es die letzte Version von Postgres 12 ist und diese damit End-of-Life ist. Es gibt auch ein paar Security-Fixes: PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 Released!. Aber dabei scheint es zu Problemen gekommen zu sein, denn es wurde kurz darauf ein Out-of-cycle release scheduled for November 21, 2024 angekündigt. Craig Kerstins schreibt über Änderungen im Postgres ABI, die für Probleme mit Extensions sorgen und ein Grund sind für die Veröffentlichung außerhalb des Release Cycles sind: A change to ResultRelInfo - A Near Miss with Postgres 17.1. Der zweite Grund ist ein Problem mit Fix für CVE-2024-10978. Zum Release Cycle und was das für "nachgelagerte" Produkte (hier am Beispiel von Crunchy) bedeutet, hat Douglas Hunley einen Blogbeitrag verfasst: On CVEs, BoMs, and Releases.

Ein Beitrag von Hazel Bachrach (What I Wish Someone Told Me About Postgres) hat auf Hacker News zu der ewigen Diskussion geführt, in welcher Form man SQL-Queries schreiben sollte. Große Keywords, kleine Keywords. Eins Diskussion, die nie ein Ende finden wird, da die Vorlieben einfach sehr, sehr unterschiedlich sind. Vor allem was eine Person als leserlich ansieht und was nicht ;-)

Gulcin Yildirim Jelinek hat einen ausführlichen Bericht über ihre Erfahrungen bei der pgconf.eu 2024 verfasst. Sie hat dabei unter anderem auch über ihre Aktivitäten PostgreSQL Europe Diversity Committee berichtet. Recap of PGConf.EU 2024 in Athens.

Christophe Pettus hat weitere Beiträge in seiner Blog-Serie zum Theme Collations veröffentlicht:

Postgres Release Monitor:

Security und Privacy

In Isreal wurden Kreditkartenterminals mittels DDoS-Attacken außer Gefecht gesetzt. Damit gehen die Angriffe auf kritische Infastruktur brav weiter. Cyberattack causes credit card readers to malfunction in Israel.

Signal erweitert die Funktion und könnte in Zukunft leichter für Videokonferenzen eingesetzt werden: Signal wird immer mehr zur verschlüsselten Alternative für Zoom und Teams.

Soll man über die immer wiederkehrenden Sicherheitslücken von Fortinet und Ivanti eigentlich noch berichten? Vielleicht ist es dann doch besser über schwerwiegende Lücken in anderen Systemen zu reden. Beispielsweise bei Icinga. Ein Monitoringsystem, das ich früher auch verwendet habe (siehe auch Icinga Notifications mit Briar). Aber da ich massive Probleme bei einem Update hatte, habe ich es durch Zabbix ersetzt. Wie dem auch sei. Icinga hat sich nicht mit Ruhm bekleckert: CVSS 9.8: Monitoring-Software Icinga: Updates schließen kritische Sicherheitslücke.

In der Wochennotiz 27 habe ich von einer Keycloak-Lücke berichtet. Da gibt es jetzt einen längeren Beitrag von Maurizio Agazzini, der die Lücke entdeckt hat. Er beschreibt, es hat 10 Monate gedauert, bis die Lücke geschlossen wurde und bezeichnet das als zu lang für ein Securityprodukt: An analysis of the Keycloak authentication system.

Ma(i)lware. Das konnte ich mir jetzt nicht ganz verkneifen. Bei solchen Angriffen bin ich immer wieder beeindruckt, wie viel man bereit ist zu investieren. Es ist Ansatz, der nicht gut skaliert und höhere Kosten verursacht.Malware being delivered by mail, warns Swiss cyber agency.

Data breach ticker:

AI

Ein Interview mit dem Chef der deutschen Start-up-Hoffnung im AI-Bereich. Die Aussagen in dem Interview lassen einen aber eher zweifeln, dass daraus wirklich etwas wirkt. Besonders hervorgestochen ist folgende Antwort. Da könnte man die Bullshit-Bingo-Karte schon mit einer Antwort voll bekommen.

Wir bauen Technologie mit den beiden Differenziatoren Innovation und Souveränität. Das Ziel ist es nicht, die Produkte anderer nachzubauen. Wir wollen Technologie bauen, die es Unternehmen und Regierungen ermöglicht, souverän in die KI-Ära zu gehen.

Der Kampf um Rechenpower für die ganzen LLMs wird scheinbar härter. So hat OpenAI Probleme (OpenAI CEO Sam Altman says lack of compute capacity is delaying the company’s products) und Amazon auf der anderen Seite versucht Forscher:innen mit Gutschriften zu ihren Chips zu locken: Amazon: Kostenlose Rechenleistung für KI-Forscher.

Es wurde ein Test entwickelt, an dem die ganzen Modelle scheinbar scheitern. Die Idee hinter diesem Test ist, dass die Lösungen nicht öffentlich verfügbar sind, damit die Modelle nicht darauf trainiert werden können: New secret math benchmark stumps AI models and PhDs alike.

Dazu passend auch ein Artikel, der beschreibt, wie schwer sich die Anbieter gerade tun ihre Modelle zu verbessern, da es kaum mehr gutes Trainigsmaterial gibt. Eine Aussage sticht im Artikel OpenAI, Google and Anthropic Are Struggling to Build More Advanced AI in die Augen

“The AGI bubble is bursting a little bit,” said Margaret Mitchell, chief ethics scientist at AI startup Hugging Face

Diverses

Erst 20 Jahre. Kommt mir schon länger vor, aber so kann man sich täuschen. Auch nach 20 Jahren nicht aus meinem Alltag wegzudenken. In diesem Sinne "Alles Gute": Feiere 20 Jahre Firefox mit uns.

Gimp. Ich verwende es manchmal, um schnell Grafiken zu verändern. Die Benutzeroberfläche ist so schön "angestaubt", aber ich schaffe es die Sachen zu machen, die ich brauche. Schön zu sehen, dass es bald die 3er Version geben soll: Free, open-source Photoshop alternative finally enters release candidate testing after 20 years — the transition from GIMP 2.x to GIMP 3.0 took two decades.

Red Hat überträgt die Verantwortung für einige Projekte, unter anderem Podman, an die Cloud Native Computing Foundation. Im Internet wird herzhaft darüber debattiert, ob das gut oder schlecht für die Projekte ist. Ich denke, so lange Red Hat weiterhin ihre Entwickler:innen daran arbeiten lässt, kann es gut sein für die Projekte: Red Hat to Contribute Comprehensive Container Tools Collection to Cloud Native Computing Foundation

Microsoft macht Microsoft-Dinge und nutzt die eigene Stellung sehr gut, um die Preise für Produkte zu erhöhen. Man könnte jetzt überrascht sein, aber ich würde sagen, es sind die wenigsten: Bis zu 40 Prozent teurer: Microsoft plant saftige Preiserhöhungen.

Ob dieser Schritt nicht zu spät kommt? Kämpft doch Qwant seit Jahren mit finanziellen Schwierigkeiten (vielleicht hat sich da seit der Übernahme im Jahr 2023 etwas geändert) und es ist ja nicht der erste Anlauf einen europäischen Suchindex aufzubauen (siehe z.B. OpenWebSearch). In Zeiten, wo auch AI-Anbieter Suchmaschinen Nutzer:innen abzugraben versuchen, ist es sicher kein leichtes Unterfangen. Ich bin gespannt, ob der gemeinsame Index dann im Jahr 2025 kommt. Unabhängig davon ist ein lesenswerter Beitrag bei TechCrunch: Ecosia and Qwant, two European search engines, join forces on an index to shrink reliance on Big Tech.