News 16/25 –

Firebase Studio // Zod 4 // CVE-Ende // AI Code Interviews

16.04.2025

Shownotes

Nach unserem Special zur Google Cloud Next berichtet Dennis noch einmal detaillierter über die neue AI Cloud IDE von Google: Firebase Studio.

Außerdem dürfen wir endlich wieder Fabi am Podcast Studio begrüßen und sind gespannt was er alles über den neuesten Release der Validation Library Zod zu berichten hat.

Und wir müssen auch diese Woche wieder über die Ereignisse auf der anderen Seite des Atlantik sprechen. Denn die jüngsten Einsparmaßnahmen der US-Regierung haben jetzt dafür gesorgt, dass das bekannte CVE Programm quasi eingestellt wird. Auch beliebte Projekte wie Let's Encrypt sind betroffen.

Von Dave erfahren wir diese Woche wie ein junger Entwickler mit einem selbst-gebauten AI Tool erst viele Job Angebote bei den großen Firmen im Silicon Valley erhalten hat und dennoch deswegen seinen Studienplatz verloren hat.

Auch dieses Jahr verlosen wir zusammen mit WeAreDevelopers wieder Tickets für den WeAreDevelopers World Congress. Hört euch die Folge an, um zu erfahren, wie ihr teilnehmen könnt!

Alle weiteren Details zu unserem Gewinnspiel findet ihr unter https://www.programmier.bar/gewinnspiel.

/transkript/programmierbar/news-16-25-firebase-studio-zod-4-cve-ende-ai-code-interviews
Jan
Hallo und herzlich willkommen zu 1 neuen programmier.baren News Ausgabe, heute schon in Kalenderwoche 16 am sechzehnten April, wenn das nichts Gutes zu bedeuten hat. In einem voll besetzten Studio in der von mir aus linken unteren Ecke der Dave. Moin Dave. Moin. In der mittleren Ecke, der Dennis, wie immer.
Dennis
Bin ich immer in der mittleren Ecke oder bin ich immer da?
Jan
Bei mir bist Du in der mittleren Ecke, ich weiß auch nicht.
Dennis
Wie kann
Dave
man in der mittleren Ecke sein? Die Ecke ist doch immer am Rand. Also wird er nicht in der Mitte sein.
Dennis
Ist bei Jan. Special Ecke.
Jan
Ecke. Special Ecke. Und in der ganz, ganz Ecke, endlich wieder am Start Oh. Oh, hallo.
Dennis
Oh, hallo. Oh, hallo. Hast Du
Dave
doch schon Fabi gesagt, ne? Homest.
Fabi
Hallo. Hallo.
Dennis
Schön, dass
Dennis
Du wieder da bist, Fabi. Wir freuen uns alle sehr.
Fabi
Ja, ich freu mich auch. Hab euch ab und zu mal in meiner Abwesenheit auch gehört, euch nicht zu vergessen, aber
Dennis
Anscheinend aber selten, zumindest unsere Shoutouts hast Du nicht beantwortet.
Fabi
Ich hab gesagt, davon zu.
Jan
Er hat's ja auch nur so auf 2 x gehört, damit er 'n bisschen durchkommt.
Fabi
Mehr als einmal hab ich euch gehört.
Dave
Oh, das ist gut. Mehr als zweimal? Was? Okay. Lassen wir so im Aufstehen.
Jan
Wunderbar. Wir haben eine volle Agenda und wollen heute über Firebase sprechen, über Security, über Lead Code, über Sorgt, über viele, viele Dinge mehr. Aber bevor wir anfangen, haben wir noch ein paar News. Wir haben nämlich immer noch unser Gewinnspiel am Laufen für die Tickets zur We are Developers Conference in Berlin diesen Sommer. Alles, was ihr dafür tun müsst, ist einmal eine Review zu hinterlassen für unseren Podcast, entweder bei iTunes oder bei Spotify oder wo ihr sonst so hört und dann eine E-Mail mit einem Screenshot davon an Podcast at Programmierfunk bar schicken. Wir glauben euch zwar, dass ihr die Review hinterlassen habt, aber wir können nicht auf all diesen Plattformen antworten und schon gar nicht irgendwie privat antworten und deshalb brauchen wir eine E-Mail von euch, deshalb müssen wir uns eine E-Mail schicken. Und dazu habt ihr noch Zeit bis Ende Mai. So.
Dennis
Und auch wenn ihr kein Ticket gewinnen wollt und uns supporten wollt, könnt ihr es trotzdem bewerten. Das tut dem Feed nämlich immer ganz gut. Also 'n bisschen bewerten da draußen, bitte.
Jan
Ja. Natürlich. Süß Gut bewerten. Wenn ihr gutes Feedback habt, das gerne in die Bewertung reinschreiben. Wenn ihr 'n anderes Feedback habt, gerne direkt an uns direkt.
Dennis
Das dürft ihr aber auch öffentlich schreiben.
Jan
Ja, müsst ihr aber nicht.
Dennis
Müsst ihr aber nicht. Ja, dürft ihr aber.
Jan
So. Ihr könnt uns unser Feedback auch einfach ganz persönlich mitteilen, nämlich am vierundzwanzigsten April haben wir wieder 'n Meet-up bei uns in der Saline in Bad Nauheim und zwar
Dave
Das nächste Woche, oder?
Jan
Das ist nächste Woche, deswegen sagen wir das jetzt ja hier noch mal. Mhm. Und zwar machen wir ein Kinoabend und schauen The Thinking Game, eine Dokumentation über die Arbeit von Google Deep Mind und die Gründung davon. Und alle, die sich für coole Tech Dokumentationen und AI interessieren, sind herzlich eingeladen. Wir organisieren Popcorn, Getränke, Cocktails und ich glaub, Hot Dogs fürs Catering oder so was. Auf alle Fälle für das leibliche Wohles gesorgt und wir freuen uns, wenn ihr alle kommt. Infos und Anmeldung wie immer unter Programmier Punkt bar Slash Meet-up. Jawoll. So. Und damit können wir jetzt nahtlos anschließen an die Special Folge, die wir am Montag veröffentlicht haben aus Las Vegas von der Google Cloud Next, weil auch schon son bisschen über Firebase gesprochen haben. Und Dennis hat jetzt die richtig fundierten News zu Firebase am Start.
Dennis
Ja, so ganz kurz vor der Aufnahme hab ich gedacht, vielleicht hätte ich eure Special Folge auch noch mal hören sollen, son bisschen zu wissen, wie der updated. Aber es geht ja hier News
Jan
Was denken denn die Leute da draußen hier? Fabi hört uns nicht, denn niemand hört diese Podcastfolge.
Dennis
Die sind ja zum größtenteils dabei. Dann müssen wir sie ja nicht noch mal hören. Das ist ja ist ja gar nicht im Workflow drin. Genau, Notion hat ein neues Memograf rausgebracht.
Jan
Sauberer Übergang, der das. Sauberer Übergang.
Dennis
Fand ich fand ich gut an der Stelle. Das nur als kurze News. Es gibt ja immer wieder, da haben wir über E-Mail-Clients geredet und Notion, die ja irgendwie son Wissensmanagement bla Blups Plattform auch haben, haben jetzt eben auch 'n Mailclient in Anführungsstrichen nur für, nicht in Anführungsstrichen nur für Gmail, gibt eine Mac App, eine iOS App und sagen halt auch ganz AI infused und alles nur das, was Du wirklich brauchst in eine E-Mail, der erste wirklich simple Posteingang, der genau auf dich zugeschnitten ist. Das find ich gefunden. Ich hab's noch nicht Ja genau, ich hab's noch nicht getestet. Macht das mal und gebt uns Feedback, wie ihr das findet und dann nehmen wir das in die Liste auf von coolen Mailcleins, die es vielleicht gibt. So, jetzt aber eigentlich zu dem, was was Jan hier übergeleitet hat. Okay. Firebase Studio. Wir hatten mit Sicherheit in den News schon mal Project ID X. Das war der Versuch von von Google auch in das IDE Game einzusteigen. 'N bisschen anderer Ansatz, weil es eben browserbasiert beziehungsweise Workspace oder wie das heißt dort, alles in der Cloud liegend basiert ist und aber auch schon sehr früh diesen diese Gemini Connection hatte. Und da das sich alles über die Zeit natürlich ein bisschen evolven weiterentwickelt hat, hat das Ganze letztendlich ein Rebranding bekommen, beziehungsweise vielleicht schickt auch 'n bisschen mehr noch drin, aber die die Grundlage von dem ID X ist immer noch da. Und das, was wir jetzt haben, ist das sogenannte Firebase Studio. Und das heißt, das ist eine Entwicklungsumgebung in der Cloud, die zum großen Teil eben auf AI Features basiert oder die einfach sehr, sehr viele AI Features mitbringt und womit Google versucht son bisschen aufzuschließen, Richtung Cursor, Richtung auch durchaus und, den den Tools, die wir hier auch schon häufiger besprochen haben. Denn es gibt auch einen kompletten Agentenmodus, der einen Apps lässt. So, und da jetzt schon direkt erste große Einschränkung. Das Ganze ist nur in einem Tag möglich, also dieses ich Prototyp bei 1 App ist wirklich nur für einen Webstag möglich, grade vergessen. Genau. Ja, was Sie dann nutzen. Nichtsdestotrotz kann man ID kann man Filebase Studio nutzen, auch andere Projekte zu bauen. Man kann flatter Apps bauen. Es gibt dann auch die Unterstützung für Simulatoren. Das heißt, man kriegt das so, ja, son Simulator gestreamt letztendlich in der in dem Browser, kann damit auch iOS Entwicklungen machen und und Projekte bilden. Also sehr umfänglich, was grundsätzlich die angebotenen Tools und Sprachen et cetera an, geht nur diese AI, ich bau dir eine komplette App. Funktionalität ist eben auf Webprojekte limitiert. Und ja, was in dem Zuge vielleicht auch noch ganz interessant ist, also es hat halt, es es bietet halt so den Einstieg, macht es sehr einfach, verschiedene Tools zu benutzen, ne. Das heißt, auch die ganzen Datenbankentechnologien von Google sind halt supereinfach dort mit drin letztendlich. Firebase war ja mal sone Abstraktionsebene für die Google Cloud, ne, alles so für Mobile Development einfach zugänglicher zu machen und das son bisschen unter Tools und Tools zu abstrahieren, das einfach einfach, es einfacher zu machen. Und das Ähnliche passiert jetzt letztendlich auch auf auf höherer Ebene mit Firebase Studio. Das heißt, es gibt, Gencat nennt sich das, es ist, AI zu integrieren, also nicht mit AI zu entwickeln, sondern AI in der App zu haben. Da gibt es dann für verschiedene Programmiersprachen eben die Kombinationen, Firebase App Posting, das heißt, dass man ein automatisches Deployment hat, mit Google Cloud Run, all diese Dinge sind halt supereinfach verknüpft und letztendlich lässt sich son Full Stack Ding mit Backend, mit Frontend et cetera komplett dort entwickeln. Und ja, ich weiß nicht, Jan, Du hattest, glaub ich, mit mit Sevi die Diskussion schon mal angestoßen oder Sevi hat das noch mal angemerkt, so ob es nicht was was Interessantes wäre, tatsächlich so den kompletten Workflow in die Cloud zu legen. Also mit dem Vorteil, dass letztendlich das Produkt da ist, nicht das Produkt, dass der Code komplett auch dort ist und man nicht eben was auschecken muss, irgendwie jeder eine individuelle I hat mit unterschiedlichen Extensions, sondern Du letztendlich so einen Computer hast, sonen und egal wo, egal wie, hast Du halt so deine deine volle Power, die Du da die Du auch folgen kannst. Und vielleicht hat er ja eine Information zu. Ich glaub, man kann das ja auch unterschiedlich skalieren, aber selbst da auf den internen Google Veranstaltungen, auf denen ich war, konnte keiner mir immer so richtig sagen, wie so die tatsächliche Performance ist. Also tatsächliche Performance ist. Also ob sich das so lohnt, wenn Du halt irgendwie Entwicklungsteam hast und willst jetzt nicht in die 6000 Euro MacBooks investieren und dann ist das halt irgendwie son Zwischending? Oder ob es sich halt auch wirklich lohnt oder schneller ist, weil es halt irgendwie Cloud also Computer hat, da was zu machen?
Jan
Ich hab ja schon bei 'ner Firma gearbeitet, die das nur so macht. Also als ich bei Shopify war, die machen ja nur Cloud Environments für ihre Entwicklung. Allerdings mit dem Haken, dass wir nicht mit 'ner IDE im Browser gearbeitet haben, sondern schon mit 'ner lokalen IDE, die einfach mit 'nem Tunnel connected war in die Cloud Umgebung rein. So, ja, also meiner Meinung nach auch son bisschen the best of boouth worlds, weil Du kannst deinen benutzen, Du kannst deinen Visual Code benutzen mit deinen Plug ins, mit deinen Einstellungen bla bla, wie Du's alles so so haben willst, ja. Und hast aber trotzdem deine ganze Umgebung so in der Cloud, was so Vorteile hat wie, wenn Du zum Beispiel an 'nem Webprojekt entwickelst, ja, und das läuft halt einfach in der Cloud und nicht auf deiner lokalen Kiste, ist halt deine Umgebung, in der Du grade arbeitest, automatisch auch eine eine Preview Umgebung, auf die alle anderen drauf connecten können, ja? Wenn ich jetzt hier mein mein Projekt hab, was in der Wolke läuft, dann kann ich ja jedem anderen auch bei mir in in der Firma oder im sicheren Netz, wie auch immer man das dann so einstellt, ne, da Zugriff drauf geben. Und dann kann sich 'n Designer mal angucken, wie ich's grade implementiert hab, kann sich da mal durchklicken, ne. Du brauchst kein anderes dediziertes Staging oder dafür. Du kannst beliebig viele davon parallel hochfahren und an beliebig vielen davon parallel arbeiten, ohne bei dir lokal irgendwie und Umgebung zu wechseln. Also es hat schon sehr, sehr viele Vorteile so, ja. Und am Ende grade dann, wenn es komplexere Sachen sind, also ohne da jetzt zu viel Interner auszuplaudern, aber ich war schon 'n bisschen geflasht bei Shopify, als ich das erste Mal den den Shopify Stack in Anführungszeichen ausgecheckt hab und das zum Laufen gebracht hab. Es war halt einfach in 35 Sekunden da, weil es gibt halt einen einen Cubanetes Blueprint quasi, der hochgefahren wird so. Und der geht dann einfach für alle so. Ich muss nicht bei mir lokal irgendwie erst mal 'n Docker installieren oder Node installieren und keine Ahnung, was man so alles braucht so. Es geht halt einfach, so. Und ich glaube, dass, diese Sachen sind viel mehr das ausschlaggebende Argument, als zu sagen, Du sparst dir dann irgendwie 'n teures MacBook. Ja, natürlich muss es nicht mehr so stark sein, aber ob das wirklich der ausschlaggebende Grund ist am Ende,
Dennis
weiß ich nicht. Aber ist
Fabi
halt wiederum die Frage, ist das, dass Du's schaffst, innerhalb bis Du das erste Mal Hochfunnel von 95 Sekunden und alles ist da wirklich der Unterschied, dass es in der Cloud ist oder dass der, dass auch dabei Shopify einfach 'n Team ist, dass sich wahrscheinlich auch wirklich dediziert darum kümmert, dass dass das halt wirklich geht so. Also ich glaube, das kriegst Du auch mit 'nem lokalen Development hin. Ich glaub, der ist wahrscheinlich sogar der, also der Unterschied, dass ihr einfach 'n dediziertes Team habt, der dessen Aufgabe so was halt auch ist und sehr viel mehr Onboardings habt, als wir's zum Beispiel bei Lotum haben und vielleicht nicht so viel Wert darauf legen, dass dass das gut funktioniert.
Jan
Ja, das ist sicherlich auch richtig.
Dennis
Mhm. Das
Jan
ist sicherlich auch richtig.
Dave
Das dauert immer wieder.
Fabi
Aber ich glaub am Ende, ich glaub, es ist nicht wie bei allen Dingen so, Du kannst gar nicht sagen, in welchem, also das ist im Endeffekt immer eine Einzelfallentscheidung. Wahrscheinlich sind auch Kosten so was auch für manche der Grund, dahin zu gehen so. Und ich glaub, es ist einfach ein valides Szenario in vielen. Es wird bestimmt sone Gründe geben, wann man's nutzt. Ich glaub, dass es jetzt das ablöst und dass es nur noch Lokalentwicklung geben wird oder andersrum.
Jan
Also was natürlich auch superpraktisch ist, weil wir halt sone sehr waren, ne. Da hast Du halt niemanden, der mal eben bei dir an deinen Laptop kommen kann und dir irgendwie helfen kann mit der Einrichtung. Natürlich geht das auch irgendwie alles mit 'nem Remote Call oder so. Ist halt alles nicht so einfach. Ich mein, wir haben alle schon mal in der Situation gesessen, ja, wo jemand mit dir zusammen was eingerichtet hat. Und wenn Du das halt nicht mehr hast, ja, wie Du schon sagst, Sabine, der der Pain Point ist sicherlich für jeden irgendwo anders und der Motivationsgrund am Ende dann auch, so. Cool. Kommen wir zu 'nem andere Thema, was wir auch schon mal in den News hatten. Wir hatten ja, ich glaub, in der letzten Folge über Wallibott gesprochen und über Validierung in JavaScript und darüber gesprochen, warum Wallibott so cool ist und warum's cooles Treeshaking macht und so was. Und so wie's aussieht, hat Zot als Platz für da jetzt nachgezogen, Fabi.
Fabi
Ja, interessant. Siehst Du mal genau die Folge, ob ich noch nicht eigentlich gehört hab, worüber ich
Dave
das alles unterhalten hab.
Jan
Das war die eine Folge, nur diese Folge. Genau diese Folge.
Fabi
Genau die eine Folge, die ich nicht gehört hab, ja. Ich mein genau, weil wenn ich's ja gesagt hab, VALIDEOD ist ja von unserem Fabian Hiller und eine, sind ja beides Schema Validierungslibraries, sowohl ZOT als auch VALID. ZOT ist ZOT der Platzfisch, wenn man mal aktuell auf GitHub schaut, so ist VALID, glaub ich, grade bei ungefähr siebeneinhalbtausend GitHub Stars und in SOT ist es bei 35000. Also das ist schon noch 'n kleiner Unterschied, aber wenn man auf die Balibot Homepage geht, ist ja 1 der großen großen Pros im Vergleich. Wird ja, also SOT als Solidar Validierungslibrary und als Platz natürlich ja sogar direkt verglichen. Und zwar, was was die Größe der Bundle Size angeht und das VALLYBORT ja von Grund auf so gebaut ist, dass es gut ist mit seiner API. Und Zott hat jetzt eine v ihre V 4 in der Beta rausgebracht und da son bisschen als, vielleicht als Kontext. Also die v 3 wurde im Mai 2021 released, also sind jetzt schon 4 Jahre her und an der v 4 wurde jetzt 4 Jahre lang gearbeitet. Und unter anderem ein, wenn man jetzt grade, also ein großer Punkt, auf dem's dort direkt eingeht, ist die Geschwindigkeit als auch die. Also grade was das, so was angeht, in einigen Fällen sehr viel schon schneller geworden, grade auch type Script in bestimmten Fällen hat's schon sehr lange auch grad beim beim Bundle gedauert, die ganzen Types, die erstellt werden mussten. Und sie haben aber auch jetzt, und das ist ganz interessant, im Endeffekt das das gleiche Feature wie VALLYBOT mit dem mit der, aber haben sich dafür entschieden, ein ein eigenes Package dafür zu machen. Also es gibt jetzt at ZOT Slash Mini, was eine etwas andere API hat, als es jetzt bisher hat, es dadurch dann besser zu machen. Was ja grade oftmals 'n Argument ist irgendwie für Frontend, wo man sagt, okay, Du brauchst keine große Schema Validierungslibrary, nur weil Du in ein paar Formfeldern irgendwie validieren musst, ob das Ganze jetzt hier eine E-Mail ist oder nicht. Da hat ja Valibourne auf jeden Fall seine absoluten Vorteile ausgespielt, obwohl's auch einige gibt, dass die auch sagen, grade im Backend ist auch wichtig, wenn Du irgendwie keine Ahnung, irgendwelchen ABS Lambda Funktionen bist und irgendwie Start-up Time auch wichtig ist, probierst Du auch den Bundle, das heißt möglichst gering zu halten, wo ja durchaus mit E-Mail-Versendeservices oder Formularvalidierungsservices einige Anwendungsfälle gibt, dass es da jetzt auch seine Vorteile ausspielt. Aber zumindest kann man jetzt sagen, mal gucken, ob der Fabian jetzt seine seine GitHub Beschreibung verändert und den großen Unterschied zu ZOT damit wieder rausnimmt, weil es mit ZOT mini zumindest jetzt die Alternative gibt der Tree Shakeability oder vielleicht macht er ja auch 'n paar Analysen dazu, wie viel kleiner er trotzdem noch ist, wenn er's jetzt ist. Genau, und ansonsten, wie gesagt, v 4 jetzt in der Beta gibt auch einige weitere neue Features, zum Beispiel auch, dass es Auto, also direkt Native eine 'n JSON SMA zum JSON SMA konvertiert werden kann, was auch grade beim der Interaktion mit anderen Services oftmals wichtig ist. Oder ein Feature, es gibt jetzt vorher, wenn man Objekte definiert, hat man genannt genommen. Jetzt gibt's ein neues eine neue Funktion und zwar z. Dot Interface. Es wird weiterhin z. Dotobjekt geben. Man kann's auch absolut weiterhin benutzen, aber gibt 'n paar grundsätzliche Dinge wie der wie sat und und und jetzt anders funktioniert in z. Und macht jetzt Dinge möglich, wie zum Beispiel, dass es key- und valueoptionability gibt. Also vorher war es so, dass man optionale Werte waren immer keyoption. Also keyoption bedeutet, der wenn man 'n Objekt definiert, dann kann der Key da sein oder auch nicht. Also im Endeffekt immer mit einem der Key mit einem Fragezeichen definiert und dann könnte dieser auch sein. Es gibt aber auch den Fall, dass etwas nur sein soll, also dass der Key immer vorhanden sein soll. Aber der ist dann in dem Fall beispielsweise ein String oder undefined, aber der Key muss immer vorhanden sein im Objekten. Und das war mit bisher nicht möglich und jetzt kann man das Ganze mit 'ner Syntax, die ihr euch dann mal in den in den Notes einfach anschauen könnt, unterscheiden, sodass es auch die valueoptionability gibt, obwohl man da sich fragen muss, ich weiß nicht. Aber spontan ist mir kein Use Case eingefallen, wann ich es jetzt wann ich es jetzt gebrauchen könnte. Aber ansonsten einige schöne Sachen, so was wie, wo ich teilweise auch schon viel Code selbst geschrieben habe, irgendwie in einen einfachen String irgendwie, den man zum Beispiel, wenn man 'n Service schreibt, zurück an den Client geben möchte oder auch im Client das weil ich nehmen möchte, Bisschen einfacher, es sind son paar Toplevel Stringformats gekommen. Also vorher musste man schreiben, wenn man eine wenn man eine E-Mail als Typen validieren wollte, set dot String dot E-Mail. Jetzt sind so Dinge wie E-Mail, UUIDs und so was einfach nur noch über set dot E-Mail erreichbar, sodass man automatisch weiß, eine E-Mail muss immer ein String sein. Aber auch so neue Funktionalitäteneprint Funktionalitäten wie Template Literals, was es ja als neuen Typen, ich weiß gar nicht, in Typescript 5 eingeführt wurde. Wo man zum Beispiel so was sagen kann, mit etwas soll immer eine sein und kann dann zum Beispiel 4 verschiedene Formate haben. Also es muss so ein String sein, der ist erst eine Zahl und dann ist entweder Pixel, rem oder Prozent oder so was angegeben. So was gibt's jetzt auch als Typen und das kann man jetzt mit auch definieren. Genau, auf jeden Fall neue v 4. Wie gesagt, grad noch in der Beta. Schaut's euch mal an, wird, benutzen ihr doch einige. Ich weiß gar nicht, hatt ich's vorhin gesagt, ja, 35000 Stars hat dort mittlerweile, also werden einige von euch benutzen und jetzt in der v 4.
Jan
Nice. Nice. Eigentlich hätt ich jetzt an Dave übergeben, so.
Dennis
Oh.
Jan
Dave ist ja hier für unsere Security Ecke zuständig, aber Dave hat diese Woche 'n anderes cooles Thema am Start. Also muss ich den Security Dave spielen. Sehr geheult. Also, let's go. Wir sprechen, ah, ist mal 'n bisschen unenthusiastisch fürn Dave, aber okay. Let's go. Ja, so
Dave
so muss Uwes, so
Fabi
macht der Dave das.
Dave
Direkt übersteuert, let's go.
Dennis
Alle Lampen auf rot.
Jan
Und zwar sprechen wir einmal diese Woche über CVEs. Wisst ihr, was CVEs sind, Kinder?
Dennis
Ja. Ja, ich weiß es.
Fabi
Weiß es nicht, wie's ausgeschrieben heißt.
Jan
Sehr gutes Googeln, Fabi, an der Stelle, ja. 1 mit Sternchen. Genau, also die CVEs, Comonability und Exposures, sind im Prinzip eine Kennzeichnung für Sicherheitslücken, die so gesammelt werden, ne? Wir haben das in der Vergangenheit hier schon 'n paarmal gehört. Wenn wir über solche Lücken sprechen, dann werden die immer mit 1 CVE Nummer versehen und dann in ein Register eingetragen, wo man im Prinzip nachschauen kann, wann ist das aufgetreten? Wer hat das entdeckt? Wann ist das irgendwie gelöst worden et cetera? Und dieses ganze CVE Programm wird von einem kleinen Spin off oder einem größeren Spin off aus dem MIT betrieben, eine kleine Non Profit Forschungseinrichtungen, die in Boston sitzt und im Prinzip das für die ganze restliche Welt so betreibt. Der Haken an der Sache ist, das Ganze wird von dem amerikanischen Homeland Security Department finanziert Und da geht's nämlich schon los, es wurde finanziert. Trump und die letzten 25 Jahre wurde das so finanziert. Und seitdem Trump und Musk im Weißen Haus irgendwie die Achse und die Kettensäge schwingen und hier und da das Geld zusammenstreichen, ist auch dieser Dienst jetzt dem Opfer gefallen. Und das Funding für diesen Dienst läuft genau heute, am Mittwoch Mitternacht Ortszeit aus. So. Und das bedeutet natürlich, dass alle Securitydienstleister da draußen, die sich im Prinzip auf die CVI Datenbank verlassen, das so als ihre Haupt newsquelle sozusagen verwenden, zu schauen, was es irgendwie an neuen Sicherheitslücken gibt, aber auch das Verwenden zur Koordination mit anderen Diensten, sicherzustellen, dass sie halt von den selben Lücken sprechen und von denselben Metigation Schritten et cetera, et cetera. Das wird jetzt alles so wegfallen ab morgen. Also wenn ihr da draußen für Security in eurer Firma zuständig seid
Dennis
oder die Leute kennt, die für Security zuständig sind,
Jan
dann solltet ihr vielleicht mal mit denen quatschen und schauen, wie man da jetzt Alternativen finden kann. Es gibt, also das das TVE Programm kennst Du verschiedene Registrare im Prinzip, die diese Nummern vergeben. Und es gibt auch noch andere neben dieser Non Profit Einrichtung, aber die war im Prinzip die die die die primäre so, ja? So auch Microsoft kann CVE Nummern vergeben, auch ein Google kann CVE Nummern vergeben, aber dann halt immer nur so für sich und dem im kleinen Kreis. Und dann ist halt noch lange nicht sichergestellt, dass das abgeglichen wird untereinander und so weiter. Also es bleibt schwierig. Wir werden mal abwarten, was da jetzt passieren muss. Vielleicht kriegen sie auch Funding irgendwo anders her. Ich kann mir auch vorstellen, dass da andere private Firmen vielleicht jetzt einspringen und diese Finanzierungslücke schließen, aber Stand heute ist noch nichts bekannt.
Dennis
Könnte man mal
Jan
Wurde schon angekündigt, dass die bisherige CVI Datenbank so erst mal erhalten bleibt, weil sie ja auch auf auf GitHub irgendwie öffentlich ist. Aber es werden jetzt halt erst mal nach heute Mitternacht keine neuen Einträge da so hinzugefügt.
Fabi
Ah, das ist wirklich, ich hab mich nämlich grade gefragt so, bei Funding aus Saft bedeutet das, Sie haben auch wirklich direkt kein Geld mehr und stellen sofort ein, oder?
Jan
Ja, ne, wie das halt so bei bei öffentlichen Forschungseinrichtungen und so was ist, diese ganzen Stellen und Leute, die sich damit beschäftigen, die sind ja dann irgendwie, kommen aus festen Budgets und so weiter. Und wenn die auslaufen und fertig sind, dann sind das ja meistens so Verträge auf Zeit und so was alles. Und wenn die auslaufen,
Fabi
ist fertig. Okay, interessant.
Dennis
Vielleicht kann man ja 'n.
Jan
Ja, tragisch eigentlich, ne, dass dass so son Mechanismus, auf den sich die halbe Welt verlässt, dann an an so Kleinigkeiten scheitert. Also 'n anderes Opfer von diesen Einsparmaßnahmen ist ja auch der Open Technology Fund, der auch, ich glaub, aus aus dem Innenministerium in den USA irgendwie mit 40000000 Dollar unterstützt wurde, jetzt nicht mehr. Und ein großes Projekt, das der Open Technology Fund mitfinanziert hat, ist so was wie Let's Encrypt. So. Und die stehen jetzt auch auf einmal ohne ganz viel Geld da. Die haben's nur Gott sei Dank schon sehr früh geschafft, ihr ihr Sponsoringportfolio, sag ich mal, zu diversifizieren. So, also die haben halt, da ist Google mit drin, da ist Shopify mit drin, da ist MongoDaby mit drin, keine Ahnung, weil halt superviele Companys sich einfach mittlerweile auf Lets and group verlassen und darauf, dass es da ist und funktioniert und dementsprechend dann auch gewillt sind, da Geld reinzustecken. Das ist ja eigentlich cool. Aber die CVI Registry hat das halt nicht so gemacht. Und jetzt muss man mal schauen, wie's da weitergeht.
Dave
Das ist schon krass, ne. Also ich mein, so dieses ganze System von CVE ist ja so irgendwie son bekanntes und etabliertes System grade in unserer IT Bubble. Und dass das jetzt auch einfach so wegfällt, ist es schon, also krass, ne, wie wie viel dann halt diese diese US Präsidentschaft da dann Impact auf viele Bereiche hat.
Jan
Ja. Oder halt andersrum formuliert, ne, es halt, man sieht halt auch wieder, wie abhängig wir da, ja, an an so Stellen sind. So. Dave, was ist das Thema, was so viel cooler und wichtiger und interessanter war als Security diese Woche?
Dave
Also erstens muss ich sagen, Du hast es sehr gut gemacht. Ich ich ich find das auch besser gemacht als ich, von daher hat sich das schon gelohnt, Jan, Applaus an der Stelle. Ah. Genau, nee, ich hab 'n Thema mitgebracht, das wahrscheinlich superinteressant ist für Berufseinsteiger oder Leute, die demnächst irgendwie 'n Jobinterview haben oder für Vibecoder wie Dennis. Und zwar hat nämlich der einundzwanzigjährige Chun Jin Roy Lee, ist 'n ehemaliger Student der Columbia Universität. Ehemalig ist hier besonders wichtig, da kommen wir später zu, kleiner Cliffhanger direkt am Anfang. Der hat das Produkt Interviewcode veröffentlicht. Und was ist das erst mal? Also sehr sympathisch find ich schon, wenn man auf die Seite geht, da stand bis vorhin sogar noch einfach Fuck Leadcode. Mittlerweile steht da AI for Leadcode Interviews, also hat er noch mal dann angepasst. Genau, für vielleicht zur Erklärung, Leadcode kennt ihr wahrscheinlich alle, ne, ist aber die größte Onlineplattform, so seine Programmierskills und insbesondere halt quasi Verständnis für Algorithmen zu zeigen. Und da hast Du dann Challenges von einfach bis schwer und musst dann halt da irgendwie die lösen. Sei es, dass es einfach nur die Lösung selbst geht oder dass es in 'ner bestimmten Geschwindigkeit laufen soll, irgendwie Zeitkomplexität oder auch Speicherplatzkomplexität. Dient einfach als gute Vorbereitung für technische Interviews, weil die häufig genutzt werden. Und jetzt kann man sich ja ungefähr schon denken, wenn da steht, worum's geht, denn Interviewcoder ist nämlich eine AI für technische Interviews. Also wie läuft das ab? Man hat da son son, man macht so ein, 2 Screenshots von 'nem Problem, hat son Overlay und in diesem Overlay ist dann halt tatsächlich die Lösung für das Problem. Und das ist dann aber auch sehr realistisch, wie's dargestellt wird, denn da ist eine Herleitung direkt mit angegeben, die supermenschlich wirkt und man kann diese eigentlich quasi Schritt für Schritt direkt so seinem Interviewpartner kommunizieren. Also irgendwie, ne, herauszufinden, ob das und das gilt, muss ich erst mal das machen, dann sortier ich das hier und danach geh ich das effizient einfach durch, weil's ja sortiert ist. Und ah ja, es gibt ja noch die Edge Cases, das denk ich jetzt auch noch mal, ne. Also so, dass es irgendwie sehr realistisch wird. Und was ganz cool ist, das hat auch noch DeBug Potenzial inklusive. Das heißt, kann ja auch die Frage stellen, ja okay, die Lösung funktioniert jetzt, aber reduzier doch mal die Zeitkomplexität oder so. Und dann kannst Du das auch direkt dann weiter als Prompt dann einfügen und sagen, ja okay, hier das und das wird geändert. Jetzt haben wir eine Zeitkomplexität von o von n, da stand von o von n Quadrat, aber die Speicherplatzkomplexität ist jetzt von o von 1 auf o von n gestiegen oder so, ne. Also solche Sachen. Jetzt soweit so unspannend denkt ihr euch wahrscheinlich, weil na ja okay, es ist halt einfach 'n Overlay mit 'ner AI, die Algorithmen löst, wow, sehr cool, dass Du's hier reinbringst, aber und darum kommt's jetzt, es ist, also es geht ja Remote Interviews, technische Interviews und das Ganze ist für deinen Interviewpartner unsichtbar. Das heißt, egal, ob Du jetzt im Zoom bist, in in in Google oder sonstigen Plattformen, der andere sieht nicht, dass das 'n Overlay ist bei dir. So und das das Coole ist so, dass das Overlay quasi dich nicht daran hindert, direkt mit deinem aktiven Tab zu interagieren. Und es gibt so was so Webcam Monitoring, fand ich auch interessant, dass das in Interviews auch benutzt wird. Halt quasi während Du im Interview bist, dass Du nicht aufm zweiten Bildschirm guckst, es wird geschaut, wohin Augen gehen und so was alles, dass Du auf jeden Fall da nicht schietest. Und da ist das auch so das Passende, dass sich dieses Overlay mit deinem Augen movement dann mitbewegt oder Du kannst es dann zumindest einstellen. Ja, das fand ich auf jeden Fall sehr stark pflegt
Fabi
sich mit, wo Du hinguckst auf deinem Bildschirm.
Dave
Ja oder, ich ich
Jan
glaube, oder das war In deinem Cursor irgendwie wandert das, glaub ich. Also im Prinzip wandert dir dieses Fenster hinterher, damit man nicht sieht, dass Du woanders hinguckst. Das ist schon sehr creepy, wenn Du's mal auf der Webseite anschaust.
Dave
Ja. Und ich glaub, Du kannst aber auch so manuell einstellen. Also genau, wie das im Einzelnen aussieht, weiß ich nicht, aber halt, dass Du da, wo Du halt quasi aktivcodes auch da hinguckst und dann die Lösung aber direkt dadrüber verlinkt hast. Sehr spannend auf jeden Fall. Und was ich sehr, sehr
Fabi
gut hab. Wie gut hat der Typ auch schon zu Schulzeiten gespickt? War das son Profi oder hat er keine Schulzeiten begonnen?
Dave
Schreib schreib ihm auf Twitter so.
Jan
Hashtag mach dein Hobby zum Beruf.
Dave
Ja, wirklich so.
Dennis
Da hat sich's gelohnt,
Fabi
möglichst klein auf Coca Cola Flaschen Rückzeiten zu drücken.
Jan
Alter, das
Fabi
stimmt, das war ja echt eine Karriere draus gemacht.
Dave
Ja. Apropos Karriere, Fabi, gut, dass Du sagst. Nämlich der hat natürlich das entwickelt und muss natürlich auch beweisen, dass es funktioniert, ne. Also ist ja langweilig zu sagen, ja guck mal hier, das das klappt, sondern hat sich dann selbst tatsächlich bei etablierten Fangunternehmen beworben, unter anderem Meta, TikTok und auch Amazon und hat sich dabei wirklich dann gefilmt. Also man sieht diese Coding Interviews, hat natürlich aber dann halt das immer dann geschwärzt, damit man den anderen Interviewer nicht sieht und hat halt aber das auch wirklich aufgenommen. Ich glaub, auf der Seite kann man sich diese Interviews auch noch anschauen und tatsächlich hat er Angebote von diesen Unternehmen bekommen danach nach diesen Interviews. Und er wollte ja aber per se eigentlich wirklich nicht zu den Unternehmen, sondern hat dieses Material genutzt und dann diesen, die seine Anwendung Interviewkoda veröffentlicht und er gesagt hat, hey, hier schaut mal, kauft euch das auch, weil wie geil, guck mal, ich hab jetzt eine Platz bei Amazon bekommen. Wie cool ist das denn? Fand ich auf jeden Fall sehr witzig. Natürlich dann auch direkt auf dieses Thema gebracht. Und was war die Reaktion aber der Unternehmen? Weil die haben's ja natürlich dann auch mitbekommen. Alle haben ihr Angebot zurückgenommen und Amazon ist sogar noch 'n Schritt weitergegangen, was ich dann auch krasser fand, weil die hat nämlich, die haben nämlich die Columbia Universität direkt angeschrieben und haben gesagt, hey, der der Dude studiert doch bei euch, ne. Und wir hatten 'n Interview mit dem, der hat richtig krass performt. Wir waren megabeeindruckt. Ja, und dann haben wir gesehen, der der hat ja geschummelt, das ist ja dieses Tool, was er benutzt hat. Ja, das das geht ja überhaupt nicht, das ist ja echt 'n unfairer Vorteil. Aber wir vertrauen euch, dass ihr da die richtigen Entscheidungen trefft, was was was ihn angeht. Ja, kurz daraufhin wurd ihr dann halt rausgeschmissen bei der Columbia Universität. Die haben das auch irgendwie begründet von wegen, ja, das verstößt gegen unsere Standards und Normen, das ist da und da einsehbar. Den den genauen Post kann man auch noch mal auf Twitter sehen, weil er hat das dann auch da veröffentlicht, was was die geschrieben haben. Und er darf tatsächlich jetzt erst wieder ab dem zwanzigsten Mai 2026 an der Uni studieren. Also ist jetzt erst mal für über 'n Jahr geblockt.
Dennis
Aber ist warum,
Fabi
weil er in Interlé da schummelt hat?
Dave
Ja. Das ist interessant, oder? Weil das irgendwie gegen den gegen, wie gesagt, Standardsroom ja, von der Columbia Universität verstößt. Also beim, da da sind irgendwie so 2, 3 Seiten, die auf Twitter gepostet. Man kann sich da mal genauer anschauen, was die Begründung da explizit war, aber auf jeden Fall sehr interessant. Aber auf der anderen Seite positiv für ihn, der hat in kürzester Zeit, also ich glaub, das war ja jetzt 'n Monat oder so, hat der fast 200000 Dollar damit gemacht, wo man dann ja von 'nem jährlichen Umsatz von 2400000.0 US Dollar ausgeht, wenn das dann so gleich bleibt. Also hatte er das
Jan
Vielleicht fängt er fast wieder, sein Semester an der Columbia zu bezahlen.
Dave
Genau, genau.
Dennis
Er kann sich, kann er sich fast die Goldcard kaufen.
Dave
American Express. Ach so, da
Dennis
hat die
Dennis
Goldcard. Die Trump Goldcard hat dann bedarfsbindungen sich ja doch wieder studieren.
Dave
Mhm. Ja. Also auf jeden Fall sehr interessant, weil's natürlich auch diese ganze Thematik auch wieder veröffentlicht hat, unter anderem auf Twitter, aber auch Reddit. Dieses, hey, okay, wie sinnvoll sind eigentlich Leadcode Interviews? Die regen sich auf, dass der da eine AI benutzt hat, aber natürlich kannst Du in deinem Berufsalltag ja auch die AI nutzen, dir zu helfen. Ist das überhaupt noch 'n geeignetes Verfahren? Du hast super erfahrene Entwickler, die aufgrund von solchen Interviews nicht angenommen werden, weil das natürlich sehr fern vom Berufsalltag ist. Ja, und hat da noch mal da eine Diskussion in diesem Rahmen ausgelöst.
Jan
Ja, interessant. Ich muss auch sagen, also abgesehen von dieser ganzen ich cheate in meinem Interviewszenario, ist ist ist die App schon irgendwie auch cool gemacht, so. Bist Du in deinem Editor drin, kriegst Du son Overlay, kriegst Du irgendwie eine Erklärung direkt angezeigt. Also eigentlich ist es ja auch per se eine coole User Experience. Mhm. So. Kann ich mir vorstellen, dass er da vielleicht noch was anderes auch draus baut für so richtig produktiven Einsatz.
Dave
Ja, da wird das wird safe 'n reicher Tech Bro, seh ich jetzt schon.
Fabi
Der fängt gerne mal an zu studieren.
Dave
Ja. Lohnt sich nicht mehr.
Jan
Ja, ja, schade. Aber er kriegt halt auch nie mehr 'n anderes Jobangebot, ne.
Dennis
Weil er muss ja den Typ nur noch googeln und dann ist
Jan
auch irgendwie klar, was Sache.
Dave
Also er kann jetzt quasi nur noch 'n eigenes Unternehmen haben wahrscheinlich.
Fabi
Er muss nur nicht mehr ins Interview Ich wollt grad sagen, nee, nee, nee, nee, nee, nee, nee, nee,
Dennis
nee, nee, nee, nee, nee,
Fabi
aber er hätte aber den, also den nimmst Du doch auf jeden Fall trotz, also hä, das wär ja auch
Dennis
Na ja, aber guck
Jan
mal, die ganzen haben jetzt ihr Angebot zurückgenommen. Und ich hätte ja auch gedacht, so der der intuitive Reflex wär gewesen, boah, der hat ja richtig was aufm Kasten eigentlich, auch wenn er das jetzt nicht so zur Anwendung gebracht hat, wie wir uns das wünschen. Aber per se ist es ja ist ja offensichtlich nicht aufn Kopf gefallen, so, ne.
Dave
Ja. Aber genau, es kamen direkt, also 3 Absagen direkt von den großen Unternehmen. Ja, traurig.
Jan
Da siehst Du mal, wie die ticken.
Fabi
Ja, aber irgendwie echt, also eigentlich, ich find auch das hintendran ist doch eigentlich echt superschlecht. Warum machen die's?
Dennis
Vielleicht einfach nur son bisschen diesem auch dem, also gesellschaftlich, oder hat jemand, da cheatet jemand und das das ist böse, wenn jemand cheatet und deswegen dürfen wir das natürlich unterstützen.
Jan
Ja, aber Dennis Fabi, wenn bei uns jetzt so jemand ankommt und sagt, danke fürs Angebot, ich hab übrigens mich voll durch die Probeaufgaben durchgeeatet, was würdet ihr denn dann sagen?
Dave
Aber ist ja, glaub ich, sogar okay, oder? Also, nein, weil weil ich überleg grade bei dem technischen Interview, also ihr sagt ja nichts von wegen, ja, Du darfst jetzt auch nicht irgendwie Chat GPT verwenden. Natürlich kann ja jeder alles benutzen.
Dennis
Ja. Aber wir finden ja trotzdem auch
Fabi
Dass ich natürlich niemanden annehmen würde, der jetzt dieses Tool im in im Interview nutzt, ja, das eine. Aber dass ich den annehmen würde, der das Tool entwickelt hat, meinen Dings zu bescheißen, den würd ich natürlich ein Also das würde grade bei dem, darum geht's ja so. Warum stellst Du nicht den ein, der dieses Tool entwickelt hat, der der's hinbekommen hat und sie zu verarschen?
Dennis
Ja. True. True. Ja, und gleichzeitig natürlich irgendwie, ja, es müssen die Frage, wie Du denn das so gleichst. Wenn jetzt 1 kommen würde und sagen, hey, ich hab komplett Lotung gehackt oder so was und dann ob Du jetzt sagst, ja cool, herzlich willkommen. Ja, kann man drüber streiten, aber grundsätzlich bin ich eher bei euch.
Jan
Wenn Du da was Gefühl hast, dann
Dennis
Das Mikrofon hat zu groß gemacht, da wollt ich Entschuldigung.
Jan
Cooles Thema, Dave. Ich bin gespannt, wann Du mit dem ersten Jobangebot von Amazon die Ecke kommst.
Dave
Let's go, ja. Man muss sich's auch in viel testen tatsächlich.
Jan
Ja. Alles für den Podcast.
Dave
Alles für den Podcast.
Jan
Kannst Du mal irgendwo bewerben. Wunderbar? Boah, Du hast heute
Dennis
gar kein Outro mehr, Jan, weil Du alles vorne rausgebadet hast.
Jan
Na ja, das Einzige, was mir zu sagen bleibt, da war es war ein Fest, dass Fabi wieder da ist, ja? Sehr cool. Auf jeden Fall. Und wenn ihr trotzdem noch Feedback habt zum Podcast zur Folge, zu allem anderen, dann immer gerne Hör wieder die erste E-Mail rein. Podcast in der Programmierfunk bar oder hört in die erste Minute, wie ihr uns Feedback hinterlassen sollt oder schreibt uns auf Social Media oder sonst wo wir lesen überall fleißig mit. Und damit sind wir durch für heute.
Dave
Bis nächste Woche. Bis
Dennis
denn, macht's gut.
Dave
Tschaui.

Verwandte Podcasts

  • News Asset 10

    News 10/25: Leaks in Copilot // Doom in TypeScript // Browser in Benchmarks // C1 Chip in iPhone 16e // Quantencomputing // enterJS

  • 173 Ig Fb Georg Dressler

    Deep Dive 173 – Prompt Injection mit Georg Dresler

  • News Asset 6

    News 06/25: Apples neue App // JavaScript Temporal // Web AI Acceleration Fund // Angular Dokumentation // Ross Ulbricht // Bitcoins in El Salvador

  • News Asset 4

    News 04/25: 21st.dev // Evo // Apple Intelligence // Stargate // TikTok

  • AI News Asset 3

    News AI 03/25: Nvidia Digits & Cosmos // Sky-T1 // Codestral 25.01 // vdr-2b-multi-v1 // moondream

  • 168 Ig Fb Low Code Mit Till Schneider & Tobias Müller

    Deep Dive 168 – Low Code mit Till Schneider & Tobias Müller

  • News Asset 50

    News 50/24: React und Webcomponents // AWS und Aurora // Deno und Executables // Google und Quantencomputing // D-Link und Sicherheitslücken

  • News Asset 48

    News 48/24: Tate ohne Security // Google ohne Chrome // JavaScript ohne Trademark // App Store mit Awards // CSS mit Logo

  • News Asset 44

    News 44/24: JavaScript Features // Flutter Fork // GitHub Universe // Internet Archive // Neue Macs

  • News Asset 40

    News 40/24: OpenAI Dev Day und mehr // Wordpress und Open Source // Meta Connect 2024 // Deno 2.0

Feedback