Planet CCC - Blogs and more around CCC, CCC-Hamburg and Attraktor

Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3460.html

Video:froscon2025-3460-eng-Shutdown_hd.mp4

Open source is more than code: it's a movement that empowers communities to build resilient, sovereign digital infrastructure. In an era of geopolitical realignment, centralised, corporate-controlled platforms threaten our social, political, and economic freedoms. This keynote examines how open source principles and the Fediverse (using Mastodon as an example from the European context) can enable us to build resilient, user-empowering networks founded on respect and community governance. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3408.html

Video:froscon2025-3408-eng-Decentralising_Freedom_Open_Source_for_Sovereignty_hd.mp4

sq is Sequoia PGP’s primary command line tool. In this talk, I'll briefly present sq's design philosophy and architecture, and then I'll demonstrate several different workflows. sq is Sequoia PGP’s primary command line tool. In this talk, I’ll present sq. I’ll start by discussing sq’s design philosophy. In particular, I’ll explain how sq aims to firstly be a tool for end users, and not developers writing scripts, and what that means for users of the tool. I’ll then present how sq is different from other tools in the ecosystem. In this regard, one of the most important differences is that sq explicitly does not support curated keyrings; users have to authenticate all of the certificates that they use. At first blush, this may sound like a usability nightmare, but I’ll show how sq supports users by managing evidence, which simplifies these decisions. Finally, I’ll demonstrate several workflows. These include how to verify files, how to create and manage a certificate, how to find a certificate and use it, and how to create and manage a CA for your organization. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3397.html

Video:froscon2025-3397-eng-A_Practical_Introduction_to_using_sq_Sequoia_PGPs_CLI_hd.mp4

Was passiert wenn kritische Open Source Projekte nicht mehr gepflegt werden? Im November 2024 hat Perforce Inc mitgeteilt, ab sofort keine Open Source Pakete für Puppet mehr bereitzustellen. Von einem Tag auf den anderen wurden Git Repositories nicht mehr geupdated, Pull Requests wurden ignoriert. Vox Pupuli ist eine etablierte Community. In dem Vortrag geht es um die Interaktionen der Community mit Perforce und wie man ein erfolgreiches Open Source Model etabliert von der Community, Nutzerinnen und Hersteller profitieren. Vox Pupuli ist eine lose Gruppierung von über 220 Entwicklern. Wir arbeiten alle mit Puppet, oder haben Tools für das Puppet Ökosystem entwickelt oder wir kennen uns mit Software aus, welche mit Puppet automatisiert wird ("Domain Specific Experts"). Irgendwie haben wir es über die Jahre geschafft eine Community aufzubauen die organisch wächst. Mit der abrupten Änderung von Perforce, Open Source Entwicklung einzustellen, wurden die Community und Nutzer vor vollendete Tatsachen gestellt. Im Vortrag möchte ich die Fehler aufzeigen die es in der Vergangenheit gab, damit andere Communities diese vermeiden können. Außerdem möchte ich Lösungen aufzeigen wie es besser funktioniert und man kommerzielle Interessen mit einem Open Source Gedanken kombinieren kann. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3390.html

Video:froscon2025-3390-deu-Vox_Pupuli_-_Hinter_jedem_erfolgreichen_Open_Source_Project_steht_eine_lebhafte_Community_hd.mp4

This talk presents subpatch, a multi-repository management tool. It's useful if you want to assemble a monorepo from multiple repositories, integrate third-party dependencies as source files, or maintain a local fork with a linear patch stack of an upstream project. subpatch operates on several key principles. It utilizes “git add” to incorporate subproject files into the superproject, treating them as normal files. The metadata is stored in a Git-config-style configuration file. subpatch supports modifications to subprojects, facilitating a linear patch stack, and simplifies the process of importing new versions and rebasing local modifications. If you are currently using git-submodules or Google’s repo tool and you are frustrated, subpatch is maybe interesting for you! Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3389.html

Video:froscon2025-3389-eng-subpatch_fearless_multi_repository_management_hd.mp4

Der Vortrag stellt am Beispiele von Karten, die mit OpenStreetMap-Daten erstellt wurden, vor und nimmt daneben auch OpenStreetMap als soziales Projekt in den Blick. OpenStreetMap (OSM) ist ein internationales Projekt mit dem Ziel, Geodaten zu sammeln und diese der Allgemeinheit unter einer freien Lizenz zur Nutzung zu überlassen. Der Vortrag stellt Beispiele von Karten vor, die (wesentlich) auf OpenStreetMap-Daten basieren. Hier zeigt sich nicht nur, dass OpenStreetMap im Bereich der Geodaten einen wesentlichen Beitrag zur digitalen Souveränität leistet, sondern darüber hinaus ein soziales Projekt ist. Dies gilt es bei der Nutzung der Daten zu berücksichtigen. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3374.html

Video:froscon2025-3374-deu-OpenStreetMap_--_Tausendundeine_Karte_hd.mp4

When it comes down to scaling time series monitoring solutions things can get messy. That’s one of the reasons why VictoriaMetrics, a Silver member of the Cloud Native Computing Foundation (CNCF), started its journey some years ago. It is a simple, reliable and efficient set of Observability Solutions that's been adopted by many organizations. It's open source, with a strong community behind it, with enterprise and managed (Cloud) options for those who need support. VictoriaMetrics plays well with many standards, including Grafana and OpenTelemetry. Apart from that, in case you didn’t know, VictoriaLogs is the new kid in the block that's seriously outperforming other solutions. In this presentation, we’ll present the VictoriaMetrics Open Source projects and how they differ from other solutions, especially when it comes to scaling from single small setups to massive cluster deployments. Come learn how VictoriaMetrics projects can help to ease Observability! Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3368.html

Video:froscon2025-3368-eng-Scale_Your_Monitoring_Solution_With_the_VictoriaMetrics_Ecosystem_hd.mp4

In this session, Aliaksandr presents his innovative approach to log management after studying the limitations of existing logging systems. Logging at scale is a common source of infrastructure expenses and frustration. While logging is something any organization does, there is still no silver bullet or just a simple and scalable solution without tradeoffs. In this session, Aliaksandr presents his innovative approach to log management after studying the limitations of existing logging systems. His solution is tailored for SREs, DevOps, and system engineers seeking a comprehensive logging platform for their organization. Aliaksandr's solution seamlessly integrates with existing logging agents, pipelines, and streams, efficiently storing logs in a highly optimized database. Notably, it offers lightning-fast query speeds and seamless integration with essential tools like jq, awk, and cut. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3359.html

Video:froscon2025-3359-eng-Large-Scale_Logging_Made_Easy_hd.mp4

Der Matter-Standard, eine Initiative zur Vereinheitlichung der Smart-Home-Kommunikation, erweitert seine Funktionen um ein integriertes Energie-Management. Dieser Vortrag beleuchtet, wie Matter die Energieeffizienz in vernetzten Haushalten durch Standardisierung und Interoperabilität verbessert. Vortrag: Energie-Management im Matter-Standard Der Matter-Standard, eine Initiative zur Vereinheitlichung der Smart-Home-Kommunikation, erweitert seine Funktionen um ein integriertes Energie-Management. Dieser Vortrag beleuchtet, wie Matter die Energieeffizienz in vernetzten Haushalten durch Standardisierung und Interoperabilität verbessert. Hintergrund und Relevanz Angesichts steigender Energiepreise und der Notwendigkeit zur Nachhaltigkeit gewinnt die intelligente Steuerung von Energieverbrauch und -erzeugung an Bedeutung. Bisherige Insellösungen verschiedener Hersteller behinderten jedoch ganzheitliche Ansätze. Matter adressiert dies durch plattformübergreifende Kompatibilität und erweitert seine Spezifikationen um Energie-Management-Features. Technische Umsetzung in Matter Mit der Version 1.3 führt Matter neue Geräteklassen und Protokolle ein: Energieberichterstattung: Geräte wie Smart Plugs oder Wallboxen melden Echtzeitverbrauchsdaten. Energiespeicherung: Batteriesysteme kommunizieren Ladezustände und Kapazitäten. Energieerzeugung: Solaranlagen teilen Produktionsdaten mit. Ein zentrales Energy Management System (EMS) koordiniert diese Daten, optimiert Lasten und priorisiert erneuerbare Energien. Protokolle wie SEP 2.0 (Smart Energy Profile) ermöglichen die Interaktion mit dem Stromnetz, z. B. für demand-response-Szenarien. Vorteile des Matter-Energiemanagements Kosteneinsparungen: Geräte nutzen Strom bei niedrigen Tarifen oder hoher Eigenproduktion. Netzstabilität: Lastverschiebung entlastet das Stromnetz, besonders bei Elektrofahrzeugen oder Wärmepumpen. Transparenz: Nutzer erhalten detaillierte Einblicke via Apps und können Prioritäten setzen. Nachhaltigkeit: Reduktion des CO₂-Fußabdrucks durch optimierte Nutzung erneuerbarer Energien. Konkrete Funktionen und Umsetzung des Matter-Energiemanagements Der Matter Standard V 1.3 definiert ein Energie-Management Cluster und spezifiziert darin die Funktionen, welche steuerbare Geräte umsetzen können. Dazu zählen unter anderem, dass diese ihre Startzeit verzögern können, erlauben sich pausieren zu lassen, eine Prognose über den voraussichtlichen Energiebedarf zu kommunizieren und die aktuelle Leistungsaufnahme angeben können. Auf der Basis können Energie-Manager (EMS) Einfluss auf bestimmte Geräte nehmen, um die beschriebenen Ziele zu erreichen. Fazit Matter setzt durch standardisiertes Energie-Management einen Meilenstein für nachhaltige Smart Homes. Indem Geräte herstellerübergreifend kooperieren, entstehen Synergien für Nutzer, Stromnetze und Umwelt. Die erfolgreiche Umsetzung hängt von der breiten Adoption durch die Industrie und der Akzeptanz bei Endverbrauchern ab. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3353.html

Video:froscon2025-3353-deu-Energiemanagement_im_Matter-Standard_hd.mp4

Welche Art von Code wird im Forschungsprozess produziert und wie können wir ihn für spätere Nutzung aufbereiten? Wir sprechen darüber, wie wir Forschungsskripte langzeitarchivieren wollen, was Nachnutzbarkeit für Forschungscode aus der Psychologie bedeutet und geben einen Einblick in die Praxis. Mit der Open Science Bewegung halten auch neue Arten von Forschungserzeugnissen Einzug in die Wissenschaft. Während es für die Wissenschaft einen großen Mehrwert bedeutet, dass mehrheitlich durch öffentliche Gelder finanzierte Forschung transparenter und dadurch vertrauenswürdiger wird, entstehen durch neue Forschungsobjekte neue Herausforderungen im Umgang mit ihnen. Das Leibniz-Institut für Psychologie (ZPID) ist ein Infrastrukturinstitut und stellt mit PsychArchives das Fachrepositorium für Forschungsdaten aus der Psychologie bereit. Abgelegt werden hier u.a. Forschungsskripte und die Forschungsdaten, auf die sie sich beziehen. Die Aufnahme ins Archiv an sich garantiert aber noch keine Nachnutzbarkeit, vor allem nicht in der fernen Zukunft. In diesem Vortrag stellen wir unseren Plan vor, wie wir den Code unserer Datengebenden langfristig nachnutzbar machen wollen und erzählen von den Fällen, über die wir beim Entwurf einer Langzeitarchivierungspipeline gestolpert sind. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3350.html

Video:froscon2025-3350-deu-Nachnutzbarkeit_von_Forschungsskripten_hd.mp4

Lernstick ist eine sichere Lern- und Arbeitsumgebung, die meistens auf externen Speichermedien wie USB-Sticks, USB-Festplatten oder SD-Karten installiert wird. Durch die "Secure Boot"-Kompatibilität kann nahezu jeder Computer von diesen Speichermedien gestartet werden, eine funktionierende Festplatte oder vorinstalliertes Betriebssystem sind nicht notwendig. Die auf Debian GNU/Linux basierende Distribution Lernstick wird seit 15 Jahren gepflegt und bietet eine erweiterte Hardwareunterstützung für Apple Macbooks und Microsoft-Surface-Geräte. Dies vereinfacht den Bildungseinsatz durch mitgebrachte Geräte (BYOD) z.B. auch für Prüfungen durch die chancengleiche und abgesicherte Umgebung Lernstick EXAM.

Dieser Vortrag stellt die Besonderheiten von Lernstick EDU/EXAM (Persistenz, Sicherheitsfunktionen, Accessibility, Mehrsprachigkeit) sowie Nachteilsausgleichfunktionen (Sprachausgabe, lokale LLMs, ...) für Prüfungen vor.

Lernstick wird beispielsweise im Nur-Lesen-Modus als Absicherung der Prüfungsplattform CAMPLA (entwickelt durch Partnerhochschule FHNW) eingesetzt und diese Spezialversion unterstützt zusätzlich den Systemstart von Apple Silicon M1/M2-Architekturen.

Im Q&A und an auf der Tagung bin ich auch an euren Erfahrungen mit weiteren Opensource-Lösungen für Prüfungen wie dem finnischen Abitti oder Next-Exam aus Österreich interessiert! weitere Informationen zum Referenten Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3348.html

Video:froscon2025-3348-deu-Lernstick_Linux_als_persoenliche_Lern-_oder_abgesicherte_Pruefungsumgebung_hd.mp4

On the search for open and decentralized alternatives to commercial social media platforms many have given Mastodon and/or the Fediverse a try. But if you never made the jump or did not stay around for whatever reason you might be interested in what exciting new developments are happening in and around the Fediverse. In the past years changes in established social media platforms and political developments have sparked an interest in alternative platforms that are more open and less centralized. One option is the Fediverse, a network built on open source software and an open protocol, ActivityPub. Many people have given the Fediverse a try but then moved on. Others might be interested, but still waiting to make the move. In this talk you will learn: - Why you should be using federated, decentralized social media (and why this is more important than ever before) - What the Fediverse is - What is new in Mastodon, the leading microblogging platform on the Fediverse - How Mastodon is restructuring to a non-profit organization - What other exciting developments happen in and around the Fediverse - Tips and tricks to get the best experience out of the Fediverse Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3346.html

Video:froscon2025-3346-eng-Taking_a_Fresh_Look_at_the_Fediverse_hd.mp4

Das openCode Badge-Programm fördert die Sicherheit, Wartbarkeit und Nachnutzung von Open-Source-Software in der öffentlichen Verwaltung. Es ist Teil der Plattform openCode des Zentrums Digitale Souveränität (ZenDiS) und dient als zentrales Werkzeug zur Bewertung der Softwarequalität. Repositories werden automatisiert nach definierten Kriterien geprüft und erhalten je nach Ergebnis Badges in den Bereichen Sicherheit, Wartung und Nachnutzung, die im openCode Katalog sichtbar sind. Das Badge-Programm ist fester Bestandteil der Sicherheitsstrategie des ZenDiS und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Stärkung der Sicherheit der Softwarelieferketten der öffentlichen Verwaltung. L3montree ist technischer Umsetzungspartner und bringt seine Expertise in Software-Security und Code-Qualität ein. Die entwickelten Badges schaffen Transparenz, setzen konkrete Anreize zur Einhaltung von Standards und erleichtern fundierte Entscheidungen bei der Wiederverwendung von Software. Das Badge-Programm ist Open Source, transparent dokumentiert und lädt zur aktiven Mitgestaltung durch die openCode Community ein. Wir stellen die Funktionsweise des Badge-Programms vor und geben Einblicke, wie moderne Open-Source-Entwicklung in der öffentlichen Verwaltung praktisch und sicher funktionieren kann – sodass die öffentliche Verwaltung bei der Software-Supply-Chain-Security der freien Wirtschaft vielleicht bald einen Schritt voraus ist. Mission Das openCode Badge-Programm verfolgt das Ziel, die Projekt-Qualität und Sicherheit von Open-Source-Software in der öffentlichen Verwaltung systematisch zu verbessern. Es schafft Transparenz über den Zustand von Repositories in den Bereichen Sicherheit, Wartbarkeit und Nachnutzung. Dabei kommen sogenannte Badges zum Einsatz – automatisiert vergebene Qualitätssiegel, die den Status eines Softwareprojekts auf Grundlage definierter Kriterien bewerten und visualisieren. Durch transparente Darstellung und nachvollziehbare Erklärung der Prüfungsergebnisse unterstützt das Programm Behörden, fundierte Entscheidungen zur Nutzung und Weiterentwicklung freier Software zu treffen. Gleichzeitig setzt es klare Anreize für Entwicklungsteams zur Einhaltung von Sicherheits- und Qualitätsstandards und fördert eine nachhaltige, sicherheitsbewusste Open-Source-Kultur – als Teil einer digitalen Souveränitätsstrategie. Problemstellung Trotz wachsender Bedeutung von Open-Source-Software in der Verwaltung fehlt es oft an strukturierten, objektiven Bewertungsmöglichkeiten, um Software hinsichtlich Sicherheit, Wartbarkeit und Wiederverwendbarkeit schnell und ohne tiefes technisches Verständnis einzuschätzen. Sicherheitslücken, fehlende Pflege, unklare Lizenzsituationen oder mangelhafte Dokumentation erschweren die Nutzung und bergen Risiken für die Softwarelieferketten. Gleichzeitig fehlt es an Anreizen für Projekte, etablierte Standards einzuhalten, und Schwächen können nicht transparent dargestellt werden, um diese zu beheben. Die Folge sind Intransparenz, erhöhter manueller Prüfaufwand bei der Softwarebeschaffung und geringe Nachnutzbarkeit. Ohne Orientierungshilfe ist es für Verwaltungseinheiten schwierig, qualitätsgesicherte Software auszuwählen oder wiederzuverwenden – was die Skalierbarkeit von Open-Source-Nutzung im öffentlichen Sektor erheblich hemmt. Zielsetzung Das openCode Badge-Programm etabliert einen nachvollziehbaren, automatisierten Bewertungsrahmen für Open-Source-Projekte in der öffentlichen Verwaltung. Repositories werden anhand festgelegter Kriterien maschinell geprüft und erhalten – je nach Ergebnis – Badges in den Bereichen Sicherheit, Wartung und Nachnutzung. Diese Badges machen den Reifegrad und die Qualitätsmerkmale der Software sichtbar, schaffen Orientierung und erleichtern Entscheidungsprozesse bei Beschaffung und Nachnutzung. Die geprüften Kriterien und Ergebnisse werden transparent dokumentiert, sodass nachvollziehbar ist, welche Anforderungen erfüllt wurden. Durch die gut sichtbare Einbindung der Badges in Softwareverzeichnissen wird deren Wirkung zusätzlich verstärkt. Entwicklungsteams erhalten einen klaren Anreiz zur kontinuierlichen Verbesserung ihrer Projekte anhand von Open-Source- und Sicherheits-Best-Practices. Mit offener Architektur, Community-Beteiligung und technischer Umsetzung durch ZenDiS und L3montree entsteht ein robustes, skalierbares Werkzeug zur Stärkung der digitalen Souveränität. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3344.html

Video:froscon2025-3344-deu-Code_Sicherheit_Vertrauen_hd.mp4

In dem Vortrag soll ein Überblick über Nix und NixOS mit Fokus auf Deployments von NixOS-Containern auf einem Server gegeben werden. Nix und NixOS sind extrem mächtige - und komplexe - Systeme. Gerade Container-Verwaltung und Deployment mit Nix kann sehr viele Vorteile haben. Dieser Vortrag hat das Ziel anschaulich einige Startpunkte für alle zu geben, welche ein Interesse daran haben Server mit Nix zu verwalten, sich aber bis jetzt noch nicht getraut haben wirklich in das Thema einzusteigen :) Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3335.html

Video:froscon2025-3335-deu-Nix_auf_einem_Server_ist_ganz_schoen_viel_hd.mp4

Digitales Mapping wurde lange Zeit von kommerziellen Anbietern dominiert, die durch Kosten, Komplexität und Bedenken hinsichtlich des Datenschutzes Barrieren geschaffen haben. In diesem Vortrag wird Protomaps vorgestellt, ein Open-Source-Projekt, das die Art und Weise, wie Webkarten bereitgestellt und genutzt werden, neu definiert. Durch die Verwendung des innovativen PMTiles-Formats - ein Single-File-Format für Vektorkacheln - macht Protomaps eine komplexe Serverinfrastruktur überflüssig, reduziert gleichzeitig die Bandbreitennutzung und verbessert die Leistung. Wir werden untersuchen, wie diese Technologie die Kartografie demokratisiert, indem sie selbst gehostete Karten ohne API-Schlüssel, Nutzungsquoten oder wiederkehrende Kosten zugänglich macht. In der Präsentation werden Implementierungen mit Leaflet und MapLibre demonstriert, Anpassungsoptionen vorgestellt und Fälle hervorgehoben, in denen Protomaps datenschutzbewusste, offline-fähige Mapping-Lösungen ermöglicht. Entdeckt, wie diese Technologie die Kontrolle über das Mapping wieder in unsere Hände legt und gleichzeitig die vielfältigen Möglichkeiten bietet, die moderne Anwendungen erfordern. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3334.html

Video:froscon2025-3334-deu-Die_Demokratisierung_digitaler_Karten_hd.mp4

Entwickler*innen können von KI-Tools profitieren – aber wie klappt das jenseits von Big Tech? Der Vortrag gibt eine Übersicht zu den spannendsten freien KI-Lösungen und deren Einsatz in der Softwareentwicklung. KI hat die Entwicklungspraxis bereits verändert. KI kann Code generieren und wird auch produktiv in der Entwicklung eingesetzt. Doch meist sind es proprietäre Lösungen, die zum Einsatz kommen, z.B. Cursor oder Windsurf. Dabei gibt es mittlerweile eine Fülle an Open-Source-Angeboten, die es ermöglichen, auch ohne Datenabfluss in die Cloud produktiv zu sein. Im Talk erwarten euch:

• Die spannendsten Open-Source-KI-Modelle und ihre Communitys
• Integration in den Workflow: Editor-Plugins, Terminals, Chat-Assistenten
• Erfahrungen aus der Praxis: Vorteile, Herausforderungen, Tipps zur Einrichtung und Anwendung von KI-Code Assistenten
• Q&A: Wo steht die Community, was fehlt noch? Perfekt für alle, die neugierig sind und ihre Unabhängigkeit als Entwickler*in bewahren wollen.

Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3325.html

Video:froscon2025-3325-deu-AI-First_Softwareentwicklung_-_aber_Open_Source_hd.mp4

In 2003, we created a security research project, that led to a development of several routers, designed and manufactured in EU. I'll talk a little bit about what we do and how, but I would like to speak more about our original goal - the security research project and what we noticed. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3323.html

Video:froscon2025-3323-eng-Who_is_attacking_you_hd.mp4

Mit DevGuard stellen wir ein Open-Source-Projekt vor, das Sicherheit für Entwickler:innen zugänglich, pragmatisch und automatisierbar macht. Angesichts zunehmender Angriffe auf Software-Supply-Chains und wachsender regulatorischer Anforderungen (z. B. CRA) adressiert DevGuard zentrale Herausforderungen der sicheren Softwareentwicklung: komplexe Tool-Integration, unübersichtliche Ergebnisse, hohe False-Positive-Raten und fehlende Compliance-Nachweise.

DevGuard bündelt bewährte Open-Source-Scanner in einem entwicklerfreundlichen CLI-Wrapper, integriert nahtlos in CI/CD-Pipelines und unterstützt u. a. SBOMs, SAST, SCA, Secret Scanning und Compliance as Code. Durch automatische Risikoanalysen, VEX-Support und Community-gestützte Bewertungen reduziert es Aufwand und Frustration. Tools wie in-toto sorgen für nachvollziehbare Supply-Chain-Sicherheit, Attestations und Rego-Policies ermöglichen eine durchsetzbare Compliance-Automatisierung.

In unserem Talk zeigen wir Funktionen, Architektur und wie DevGuard durch einfache Nutzung ein starkes Sicherheitsniveau fördert – von der Community, für die Community.

DevGuard ist ein Open-Source-Projekt, entwickelt von Entwickler:innen für Entwickler:innen, mit dem Ziel, Sicherheit nahtlos in den Softwareentwicklungsprozess zu integrieren. Sicherheit soll für alle Entwickler:innen zugänglich und effizient umsetzbar sein – unabhängig vom vorhandenen Security-Know-how. DevGuard soll durch die Erhöhung der Usability von Softwaresicherheits-Tools das allgemeine Security-Level der Softwareentwicklung erhöhen und Angriffe auf die Software-Supply-Chain erschweren. Mit dem Anstieg von Angriffen auf Software und deren Lieferketten (z. B. SolarWinds, XZutils) und zunehmenden regulatorischen Anforderungen, wie dem Cyber Resilience Act (CRA), steigen die Anforderungen an sichere Softwareentwicklung massiv. Gleichzeitig fehlt es vielen Entwickler:innen an Ausbildung in der Entwicklung sicherer Software und die Kenntnis über passende Tools, um diesen Anforderungen gerecht zu werden. Zwar existieren viele leistungsfähige Open-Source-Security-Scanner, doch deren Integration ist komplex, die Ergebnisse oft schwer bewertbar und bis zu 80 % der Funde können False Positives sein, was einen hohen Zeitverlust und zu einer gleichzeitigen hohen Frustration der Entwickler:innen führt. Auch nehmen die Anforderungen an die Dokumentation der Schwachstellen und deren Behandlung, die durch Regularien gefordert werden, zu, was zu einer weiteren Belastung der Entwickler:innen führt. Zielsetzung DevGuard bietet eine Entwickler:innen freundliche Lösung für das zentrale Schwachstellenmanagement, die Absicherung der Software-Supply-Chain sowie die Umsetzung von Compliance as Code. Es kombiniert bewährte Open-Source-Werkzeuge in einem einfach integrierbaren CLI-Wrapper, automatisiert Risikoanalysen und hilft dabei, relevante Schwachstellen zu priorisieren und korrekt zu beheben. Funktionen Developer-zentrierte Integration: Nahtlose Einbindung in bestehende CI/CD-Pipelines, unterstützt die OWASP DevSecOps Pipeline mit Tools für SCA, Container Scanning, IaC Scanning, SAST, DAST und Secret Scanning (teilweise in Vorbereitung). Automatisiertes Security-Monitoring: Erstellung und kontinuierliche Auswertung von SBOMs zur Überwachung von Abhängigkeiten und des Softwarezustands. Risikobewertung: Priorisierung durch pragmatische Automatisierung basierend auf CVSS, ExploitDB, Tiefe der Abhängigkeit und EPSS. Compliance-Unterstützung: Unterstützung bei der Einhaltung gängiger Standards wie ISO/IEC 27001 oder PCI-DSS. Compliance as Code: Automatisierte Sicherheitsprüfungen über signierte Attestations, die z. B. SBOMs oder Schwachstellenreports enthalten. Diese werden mit cosign erzeugt und signiert, mit Rego-Policies (OPA) geprüft und durch den Sigstore Policy Controller in Kubernetes erzwungen. Supply Chain Security: Integration von Projekten wie in-toto zur Nachvollziehbarkeit und Absicherung des Software-Build-Prozesses. Perspektivisch wird auch die Unterstützung für die Umsetzung des SLSA-Framework angestrebt. Kernkonzepte Im Folgenden werden die 3 Kernkonzepte und deren Umsetzung in DevGuard beschrieben: Zentrales Schwachstellenmanagement DevGuard verfolgt das Ziel, ein zentralisiertes und Entwickler:innen-zentriertes Schwachstellenmanagement bereitzustellen, das sich nahtlos in moderne CI/CD-Workflows integrieren lässt. Die Grundlage bildet eine vollständige Umsetzung der OWASP DevSecOps Pipeline – angereichert durch automatisierte Nachweisführung in Form von Attestations und kontinuierlicher Schwachstellenüberwachung. Integration in die CI/CD-Pipeline Die DevGuard CI/CD-Komponenten lassen sich direkt in Repositorys auf GitHub oder GitLab integrieren. Nach der Integration übernimmt die Pipeline automatisiert verschiedene Sicherheitsscans (z. B. SCA, Container Scanning, IaC Scanning) und generiert Prüfberichte im SBOM- oder SARIF-Format. Diese werden analysiert und die gefundenen Schwachstellen werden zentral in DevGuard erfasst und bewertet. Zusätzlich werden für durchgeführte Prüfungen kryptografisch signierte Attestations erzeugt, die zur Compliance-Dokumentation dienen. Zentrale Datenbasis Die Grundlage für das Schwachstellenmanagement bildet eine aggregierte Schwachstellendatenbank, die alle sechs Stunden aktualisiert wird. Sie kombiniert Informationen aus mehreren etablierten und vertrauenswürdigen Quellen, darunter: CVE / NVD Exploit DB GitHub Exploits OSV (inkl. PyPI, Go, Rust, etc.) EPSS (Exploit Prediction Scoring System) OpenSSF, Ubuntu, Bitnami, OSS-Fuzz u. v. m. Diese breite Datenbasis ermöglicht eine fundierte Risikobewertung und Priorisierung der Schwachstellen auf Basis von Ausnutzbarkeit, CVSS-Schweregrad und realer Bedrohungslage. Risikobasierte Priorisierung Nicht jede gefundene Schwachstelle ist unmittelbar kritisch. DevGuard ersetzt die klassische Bewertung nach CVSS (z. B. --severity CRITICAL) durch eine praxisnahe Risikobetrachtung (z. B. --risk CRITICAL). Dies geschieht durch Kombination von Metriken wie EPSS, ExploitDB-Präsenz und Projektkontext. So werden Ressourcen gezielt auf wirklich relevante Schwachstellen gelenkt. Vulnerability Management und Synchronisation DevGuard bietet eine zentrale Übersicht aller Schwachstellen eines Projekts. Entwickler:innen können diese eigenhändig nach-priorisieren, kommentieren und direkt aus DevGuard heraus manuell oder automatisiert Tickets in GitLab, GitHub und in Zukunft Jira erzeugen. Die Bearbeitung erfolgt anschließend in der bekannten GitHub oder GitLab Umgebung bequem per Slash-Commands aus dem Issue. Gemeinsames Schwachstellenmanagement mit VEX und Crowd-Input Zur Reduzierung von False Positives und doppelter Analysearbeit nutzt DevGuard den Vulnerability Exploitability eXchange (VEX)-Standard. Damit können Projekte maschinenlesbar dokumentieren, dass eine bestimmte Schwachstelle zwar formal vorliegt, aber im eigenen Kontext nicht ausnutzbar ist (False-Positive). Diese Einschätzung wird über VEX verfügbar gemacht und schützt auch andere Nutzer vor unnötigem Aufwand. Jeder DevGuard-Nutzer kann zu jederzeit den eigenen VEX seiner Software einsehen und mit Nutzern teilen. Ergänzend wird Wissen der „Crowd“ genutzt: Wenn eine ausreichend große Zahl an Nutzern eine Schwachstelle als irrelevant einstuft, kann diese Information als verifizierter Community-Eintrag übernommen werden. So entsteht ein intelligentes, kollaboratives Schwachstellenmanagement. Supply-Chain-Security Die Absicherung der Software Supply Chain ist ein zentraler Bestandteil moderner Softwareentwicklung. DevGuard integriert Sicherheitstools wie in-toto und soll etablierte Frameworks wie SLSA (Supply Chain Levels for Software Artifacts) umsetzen, um die Integrität der gesamten Build- und Deployment-Pipeline sicherzustellen – automatisiert, nachvollziehbar und mit minimalem Konfigurationsaufwand für Entwickler:innen. Integration von in-toto in-toto ist ein Framework zur Integritätssicherung von Softwarelieferketten. Es erstellt kryptografisch signierte Link-Dateien für jeden Schritt der Pipeline, die genau dokumentieren: Welche Dateien (Materials) in einen Schritt eingeflossen sind. Welche Artefakte (Products) daraus erzeugt wurden. Welche Kommandos ausgeführt wurden. Wer den Schritt ausgeführt hat (Signatur). Diese Link-Dateien werden später gegen eine root.layout geprüft, die die gesamte erwartete Supply Chain, autorisierte Schlüssel und erlaubte Materialien/Produkte definiert. Automatisierte Umsetzung mit DevGuard DevGuard vereinfacht die sonst komplexe Nutzung von in-toto durch: Automatische Layout-Generierung: DevGuard erstellt und verwaltet die root.layout-Datei dynamisch basierend auf den verwendeten CI/CD-Workflows. Transparentes Key-Management: Entwickler:innen verwenden Zugangstoken, DevGuard verwaltet die Public Keys. Private Keys verbleiben lokal. CI/CD-Integration: Link-Dateien werden automatisch pro Pipeline-Schritt erstellt, signiert und in DevGuard gespeichert. Kontinuierliche Verifikation: Bei Abschluss der Pipeline wird die gesamte Kette automatisch gegen die root.layout verifiziert. Ein API-Endpoint stellt das Ergebnis zur Verfügung. SBOM-Integration zur Komponentenübersicht Neben der Nachvollziehbarkeit der Build-Schritte bietet DevGuard eine vollständige Übersicht über alle verwendeten Softwarekomponenten. Mittels SBOMs (Software Bill of Materials), die automatisch erzeugt und ausgewertet werden, erkennt DevGuard bekannte Sicherheitslücken in eingesetzten Abhängigkeiten. Diese Informationen fließen in das zentrale Schwachstellenmanagement und ermöglichen ein sicheres Lifecycle-Management aller Komponenten. SLSA-Kompatibilität und Attestations Zur weiteren Härtung der Lieferkette erstellt DevGuard Attestations (signierte JSON-Dateien), die Metadaten zur Build-Herkunft, durchgeführten Scans, genutzten Tools, Signaturen oder Lizenzinformationen enthalten. Diese Attestations werden im CI/CD-Prozess generiert und in der Container-Registry sowie bei DevGuard gespeichert. Für erhöhte Vertrauenswürdigkeit unterstützt DevGuard auch die Erzeugung von SLSA-konformer Provenance. Durch Nutzung von GitLab Multi-Project Pipelines kann DevGuard Attestations sogar mit einem eigenen, vertraulichen Schlüssel signieren, der dem Maintainer nicht bekannt ist. So entsteht eine fälschungssichere Beweiskette, gemäß SLSA Level 3. Compliance as Code Compliance as Code verfolgt das Ziel, Sicherheits- und Compliance-Prüfungen automatisiert und reproduzierbar in moderne CI/CD-Pipelines zu integrieren. Anstelle manueller Prüfungen werden sogenannte Attestations verwendet (kryptografisch signierte JSON-Dokumente), die als Nachweis dienen, dass bestimmte Sicherheitsprüfungen erfolgreich durchgeführt wurden. Typische Inhalte solcher Attestations sind: Generierung einer Software Bill of Materials (SBOM) Durchgeführte Schwachstellen-Scans Prüfung auf kritische Schwachstellen Verwendung vertrauenswürdiger Build-Tools Kryptografische Signatur durch eine autorisierte Instanz Die Attestations lassen sich mit Open Policy Agent (OPA) und der Policy-Sprache Rego verifizieren. Rego-Policies prüfen gezielt Inhalte der Attestations – etwa, ob bestimmte Schlüssel existieren oder Werte gültig sind. Für die automatische Durchsetzung der Compliance-Anforderungen kommt der Sigstore Policy Controller in Kubernetes-Clustern zum Einsatz. Dieser verwendet ClusterImagePolicies, um Regeln zu definieren, welche Images unter welchen Bedingungen ausgeführt werden dürfen. Wird eine Attestation nicht erfüllt oder nicht vertrauenswürdig signiert, wird das entsprechende Deployment blockiert. DevGuard automatisiert diesen kompletten Prozess. Es erstellt Attestations entlang der DevSecOps-Pipeline, lädt sie automatisch hoch und unterstützt Organisationen dabei, individuelle oder standardisierte Sicherheitsrichtlinien (z. B. nach ISO/IEC 27001 oder PCI-DSS) effizient durchzusetzen. So wird Compliance Teil des automatisierten Entwicklungsprozesses – nachvollziehbar, überprüfbar und sicher. Technische Details Verwendeter Tech-Stack: Golang TypeScript Container Kubernetes (Helm-Chart) DevSecOps Pipeline DevGuard unterstützt die Entwickler:innen dabei, die OWASP DevSecOps Pipeline mit einer kuratierten Open Source Security Scanner-Liste umzusetzen. Aktuell verwendete Scanner: Secret Scanning: gitleaks SAST: semgrep IaC: checkov SCA: trivy Container-Scanning: trivy Signing: cosign DevGuard verfügt über eine SARIF-Schnittstelle. Dieses Dateiformat wird von den meisten gängigen Analysetools unterstützt. Über die SARIF-Schnittstelle können somit weitere, eigene Tools an DevGuard angebunden werden. So können Entwickler:innen auch selbst gewählte Security-Scanner nutzen und die Ergebnisse über DevGuard verwalten. Inhalte des FrOSCon Vortrags Auf der diesjährigen FrOSCon möchten wir das DevGuard-Projekt erstmals einem breiten Fachpublikum vorstellen. Unser Ziel ist es, konstruktives Feedback zur bisherigen Umsetzung einzuholen, neue Anwendungsfälle zu diskutieren und gemeinsam mit der Community Potenziale für Weiterentwicklungen zu identifizieren. Darüber hinaus möchten wir Entwickler:innen motivieren, DevGuard zur Erhöhung der Sicherheit in ihren eigenen Softwareprojekten einzusetzen – unabhängig davon, ob es sich um persönliche Projekte, Open-Source-Initiativen oder unternehmensinterne Anwendungen handelt. DevGuard soll ein Projekt von der Community, für die Community sein. Deshalb freuen wir uns über jede Form der Beteiligung: sei es durch das aktive Mitwirken an der Entwicklung, das Erstellen von Issues oder Feature Requests, das Teilen von Erfahrungsberichten oder durch Beiträge zur Dokumentation. Gemeinsam wollen wir ein Werkzeug schaffen, das moderne Sicherheitsanforderungen pragmatisch adressiert und gleichzeitig einfach nutzbar bleibt. Agenda: Vorstellung des Projekts Einführung in die Funktionen Vorstellung der technischen Details Vorstellung der Road-Map Call to Action Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3322.html

Video:froscon2025-3322-deu-Develop_Secure_Software_-_The_DevGuard_Project_hd.mp4

"Fachkräftemangel!" "Wir finden keine guten Leute!" "Wir würden ja total gerne mehr Frauen einstellen, es bewerben sich nur keine!" — wenn in deinem Unternehmen solche Sätze rumfliegen, dann macht es gewaltig was falsch. Seit mindestens 30 Jahren macht die Open Source Community — und Unternehmen, die sich an ihr orientieren — vor, wie man sich aufstellt um wirklich gute Leute anzuziehen. In diesem Vortrag zeige ich auf, wie viel Unternehmen falsch machen können, und wie sie sich mit schöner Regelmäßigkeit und lasergleicher Präzision ins Knie schießen. Und wie man mit ein paar ganz einfachen Maßnahmen zu wirklich guten Mitarbeiter:innen kommt. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3321.html

Video:froscon2025-3321-deu-Es_Es_Ka_Em_Warum_gute_Leute_nicht_bei_euch_arbeiten_wollen_hd.mp4

The software on our phones is heavily reliant on proprietary code, leaving us with little control. This talk explores postmarketOS, an ambitious effort to build a truly open-source operating system for phones. We'll discuss how it can help us regain control, and tackle the tough questions about the challenges of bringing true digital sovereignty to our mobile devices. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3317.html

Video:froscon2025-3317-eng-postmarketOS_-_Digital_Independence_in_Your_Pocket_hd.mp4

The Small Device C Compiler (SDCC) is a free C compiler targeting 8-bit architectures, including MCS-51, STM8, Padauk, Rabbit, S08. It supports standard C up to current ISO C23. We discuss the current state of SDCC, its use in writing firmware, and plans for the near future. Many devices include small 8-bit processors using architectures not or not well supported by well-known free compilers, such as GCC and clang. E.g. MCS-51 (8051, 8052) based microcontrollers in the Realtek WiFi chipsets. SDCC is the free compiler targeting these architectures. We discuss recent developments in SDCC, current challenges, and the plans for the near future, in particular wrt. improving hardware support (including plans for additional target architectures). Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3307.html

Video:froscon2025-3307-eng-The_Small_Device_C_Compiler_for_8-bit_firmware_development_hd.mp4

VersaTiles is a powerful, free and open web map stack that runs on every major platform. Now, you can run your own map server in seconds! VersaTiles combines the best features of existing open-source projects into one modular system. We also offer free vector tiles based on OpenStreetMap and raster tiles featuring satellite and aerial imagery. VersaTiles can be set up in seconds on any cloud provider or server architecture, including Docker and Kubernetes, as well as on your laptop or Raspberry Pi. We provide comprehensive documentation, specifications, code examples and a range of powerful tools. We even host a free map server that anyone can use. Everything is open source and licensed under free licences. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3303.html

Video:froscon2025-3303-eng-VersaTiles_-_finally_maps_for_everyone_hd.mp4

Learn how to tackle cloud billing complexity across Kubernetes clusters using ClickHouse, OpenCost, and the FOCUS schema. This talk offers practical insights into real-time cost management and scalable FinOps practices for modern cloud environments. Managing costs and billing across numerous Cloud-managed Kubernetes clusters presents significant challenges. In this talk, we'll explore these challenges and discuss solutions using ClickHouse, OpenCost, and how a unified FOCUS schema helps with it. Leveraging ClickHouse's capabilities, we'll demonstrate how it efficiently imports diverse Cloud billing data streams. Additionally, we'll delve into how OpenCost addresses the complexities of real-time cost management within a multitenant architecture. Join us to uncover practical insights into optimizing cloud costs effectively Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3300.html

Video:froscon2025-3300-eng-FinOps_Cloud_Billing_and_Usage_with_ClickHouse_hd.mp4

Telefon, Video-Konferenz und Chat: unterschiedliche Medien brauch(t)en verschiedene Clients. Als simples, gut wartbares und desktopintegriertes Softphone gestartet, möchte das OSS-Projekt GOnnect die Bereiche SIP-Telefonie, Videokonferenzen und Chat seamless in einem Client vereinen. In diesem Vortrag kläre ich die Gründe, warum ein neues Softphone nötig war, was aktuell möglich ist und wohin die Reise geht. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3285.html

Video:froscon2025-3285-deu-Auf_dem_Weg_zum_universellen_Kommunikations-Client_hd.mp4

Deutschland ist weltweit für seinen Maschinenbau bekannt. In letzter Zeit befindet sich dieser allerdings in einer schweren Krise. Um den Deutschen Maschinenbau wieder auf Vordermann zu bringen und erneit zur Weltspitze zu machen, wurde ein Open-Source-Toolkit zusammengestellt und validiert, mit welchem Maschinenbauer ihr Startup gründen können. Zum ersten Mal in der Geschichte ist eine Maschinenbau-Gründung durch Open-Source Software mit einer so geringen Einstieghürde möglich. Dieser Vortrag stellt den Produktentstehungsprozess im Maschinenbau vor und zeigt an konkreten Beispielen, wie dieser mit Open-Source-Software umgesetzt werden kann. Dieser Vortrag stellt den Produktentstehungsprozess im Maschinenbau mit Open-Source-Software vor. Dabei werden folgende Schritte des Prozesses eingegangen: 1. Übersicht des Produktentstehungsprozesses 2. Produktanforderungen 3. Patentrecherche für Maschinenbau-Startups (Strategie und Anleitung) 4. Produktkonzept 5. Produktsicherheit (CE, Richtlienien, Normen, Risikobeurteilung, Konformitätserklärung) 6. Vorentwurf des Gesamtproduktes und seiner Komponenten 7. Detailentwurf aller Komponenten 8. Simulation 9. PLM - Management der Produktdaten über seinen Lebenszyklus für Maschinenbau-Startups 10. Herstellung (intern und extern) Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3282.html

Video:froscon2025-3282-deu-Open-Source-Software_fuer_Maschinenbau-Startups_und_KMUs_hd.mp4

Das ToyCollect Projekt ist ein Open-Source Software und (hauptsächlich) Open-Source Hardware Projekt mit einem Fokus auf kleine indoor Roboter mit 3D-gedrucktem modularen Gehäuse. Wir sind momentan dabei, die nächste Generation mit Stereo-Kamera, Bumper-Sensoren, Tiefenkamera, Lagesensoren und "Unter-der-Couch-Detektoren" fertigzustellen - siehe Logo - welche auf StereoPi basieren und damit wesentlich leistungsfähiger sind, auch was lokale Deep-Learning Modelle angeht. Damit werden weitere autonome Anwendungen wie die Verwendung als Katzenspielzeug oder Verstecken-Spielen möglich. Das Kontrollsystem und die 3D-Modelle für das Gehäuse sind frei verfügbar und wir werden im Rahmen des Vortrags einige Verhaltensweisen des Roboters live demonstrieren. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3281.html

Video:froscon2025-3281-deu-ToyCollect_hd.mp4

Copyleft-Lizenzen, wie die GPL, schreiben vor, dass Verbraucher neben der Binary auch den vollständigen Quelltext erhalten. Wie kürzliche Gerichtsverfahren gezeigt haben, können auch Verbraucher auf die Bereitstellung dieses Quelltextes klagen. Daneben können auch Verbraucherverbände klagen; diese können gleich für alle Geräte eines Herstellers klagen. Dieser Vortrag wird zuerst erklären was freie Software und Copyleft ist und dann für den Vortag wichtige Teile der GPL-2.0 und LGPL-2.1 vorstellen. Sodann wird philosophiert, dass auch juristische Systeme gehackt werden können. Anschließend wird der noch laufende Fall Software Freedom Conservancy gegen Vizio besprochen; der abgeschlossene Fall Sebastian Steck gegen AVM wird ausführlich dargestellt. Abschließend wird detailliert erklärt, wie ein Verbraucherverband in diesen Fällen Urteile, die auf alle Geräte eines Herstellers wirken, erreichen kann, und um Mitglieder für einen Freie-Software-Verbraucherverband geworben. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3280.html

Video:froscon2025-3280-deu-Quelltext-Klage_als_Verbraucher_hd.mp4

Der Chip des Trusted Plattform Modules hat einige schöne Fähigkeiten, zum Beispiel kann er Schlüssel sicher verwalten. Dies kann man sich beim Thema Festplattenverschlüsselung zunutze machen. - Doch wie funktioniert das genau? Was sind die mysteriösen PCRs? - Worauf muss bei der Umsetzung geachet werden? - Wie unterscheiden sich hier die Distributionen? - Mit welcher Strategie läßt es sich am einfachsten umsetzen? - Welche Fallstricke sind möglich (sind Updates und Measurements eine gute Idee)? - Auf welche Fehlermeldungen kommt es an und welche sind irreführend? - Wie kann Systemd-Cred mit systemd-cryptenroll genutzt werden? All diese Fragen möchte ich in meinem Vortrag klären und dabei praktisch demonstrieren, wie sich die Festplattenverschlüsselung mit TPM 2.0 umsetzen läßt. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3279.html

Video:froscon2025-3279-deu-Festplattenverschluesselung_mithilfe_vom_TPM_20_hd.mp4

„Confidential Computing“ bezeichnet eine Reihe von hardwaregestützten Technologien, die angeblich vertrauliche Datenverarbeitung in der Cloud ermöglichen. In diesem Vortrag zeige ich, wie diese Mechanismen funktionieren, welchen Versprechen man trauen kann – und wo ihre Grenzen liegen. Confidential Computing verspricht Privatsphäre durch Hardware – in einer Umgebung, die dir nicht gehört. In diesem Vortrag geht es nicht um BIOS-Versionen oder Kernel-Flags, sondern um die grundlegenden Mechanismen: Was passiert, wenn man dem Hypervisor nicht mehr trauen muss? Was tun TPMs eigentlich genau? Und wie lässt sich Vertrauen technisch abbilden – oder eben nicht? Statt sich im Implementierungsdschungel zu verlieren, zeige ich die Architektur und Denkweise hinter Technologien wie AMD SEV. Ziel ist ein Verständnis der Spielregeln: Wer kontrolliert den Speicher, wer signiert den Code, wer entscheidet, ob eine Maschine „echt“ ist? Das hier ist kein Verkaufsargument, sondern ein Blick auf Systeme, die selbst einem state-sponsored Actor mit physischem Zugriff auf die Hardware nur begrenzte Angriffsfläche bieten – zumindest theoretisch. Ich habe mir die Versprechen angeschaut, sie mit realer Technik abgeglichen und versucht, die Grenze zwischen Schutz und Illusion auszuloten. Confidential Computing ist kein Allheilmittel – aber ein Werkzeug, das man kennen sollte. Wenn man versteht, was es kann. Und was nicht. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3276.html

Video:froscon2025-3276-deu-Anarchists_Guide_to_Confidential_Computing_hd.mp4

Free Libre Open Source Software (FLOSS) hat sich mittlerweile einen Stammplatz im deutschen Hochschulwesen erobert und ist ist als fester Ausbildungsbestandteil aus den Modulplänen nicht mehr wegzudenken. So sollte man/frau/div jedenfalls meinen. Leider sieht die Realität anders aus. Viel zu oft werden die Schwerpunkte immer noch auf proprietäre Software gelegt; die Omnipräsenz von Powerpoint und Mathlab als häufiger Bestandteil vom Hochschulalltag spricht leider eine zu eindeutige Sprache. Dieser Vortrag stützt sich auf Erfahrungen mit diesem Thema an der University of Applied Sciences in Frankfurt und ist wie folgt gegliedert: - Einführung - Bestandsaufnahme: Wo stehen wir in der Ausbildung? - Anforderung an die Ausbildung (insbesondere im Hinblick auf die Omnipräsenz von FLOSS in der Industrie und anderswo) - Die Zukunft / nächste Schritte: Ziel und Wege dorthin Der Fokus dieses Vortrags liegt hierbei auf dem Erfahrungsaustausch der Teilnehmer, daher sind die obigen Themenpunkte als Anhaltspunkte für die Schwerpunkt dieser Diskussion zu verstehen. Dieser Vortrag wendet sich an Praktiker in diesem Umfeld und solche, die es werden wollen. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3267.html

Video:froscon2025-3267-deu-FLOSS_Uni_-_Quo_Vadis_hd.mp4

Vor noch vor 12 Monaten war es schwer, Softwareentwickler auf dem Markt zu gewinnen. Ein jahrzehntelanger Trend steigender Gehälter in einem wachsenden Markt wiegte alle in Sicherheit, dass dies so bleiben würde … Heute sind Softwareentwickler:innen leichter verfügbar als Handwerker:innen, die Preise sinken, Dienstleister kämpfen um ihre Existenz. Reicht es, dass der aktuellen wirtschaftlichen Entwicklung zuzuschreiben? Sicherlich nicht … neue Arbeitsformen sind der erste Angriffsvektor auf die bestehenden Geschäftsmodelle und durch KI stehen bereits neue Herausforderungen in den Startlöchern. Ich möchte gerne teilen, wie wir als Technologieunternehmen damit umgehen und lernen, wie andere es tun! Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3256.html

Video:froscon2025-3256-deu-Sind_Softwareentwicklerinnen_die_neuen_Weberinnen_hd.mp4

In diesem Vortrag möchte ich insbesondere auch darauf eingehen, wie man seine Stärken herausfinden kann und welche Methoden helfen, den richtigen Job (auch als Führungskraft mit "nur" technischem Hintergrund) zu finden. In diesem Vortrag möchte ich meinen unerwarteten Weg eines technischen Experten zur Führungskraft beschreiben. Trotz anfänglicher Zurückhaltung gegenüber Führungsrollen - ich wollte mich nie mit disziplinarischer Führung und Budgetverantwortung herumschlagen - habe ich mich mit der Rolle auseinandergesetzt und sie gut ausgefüllt. Interessanterweise bin ich ein klassischer "Accidental Manager", der per Zufall (?) zu einer Leitungsrolle abseits von technischer Führung gekommen ist. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3247.html

Video:froscon2025-3247-deu-Vom_Techniker_zum_Leader_hd.mp4

Die europäische "Vat In the Digital Age" (ViDA) Richtlinie, Anlass für das Wachstumschancengesetz (WCG), sieht vor, dass alle B2B-Rechnungen, grenzüberschreitend oder innerdeutsch (WCG), in "Echtzeit" (10 Tage) in ein zentrales staatliches Umsatzsteuer-Meldesystem hochgeladen werden. Dieser Vortrag beschreibt die erfolgte und drei kommenden Phasen der Einführung, zehn Kernpunkte und wie Open-Source bei der Umsetzung hilft.

Phasen

• Lesepflicht (existent)
• Schreibpflicht (ab 2028)
• Innerdeutsche Übermittlungspflicht (beschlossen)
• Europäische Austauschpflicht (beschlossen)

Kernpunkte

• Details zur existierenden Lesepflicht
• Details zur kommenden Schreibpflicht
• Details zur kommenden Übermittlungspflicht
• Details zu grenzüberschreitenden Rechnungen
• Details zur Archivierungspflicht
• Details zum Übertragungsweg
• Details zu Formaten
• Details zu noch nicht existierenden "Extensions"
• Details zu noch nicht kommenden "Extensions"
• Details zur Prüfung

Open-Source

• Fakturama: Beispielhaftes Open-Source-Projekt zum Erstellen von E-Rechnungen
• Quba (Projekt vom Autor): Beispielhafter E-Rechnungs-Viewer
• ZUGFeRD-Manager Beispielhafter E-Rechnungs-Validierer

Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3244.html

Video:froscon2025-3244-deu-Pflichtupload_Staats-Cloud_E-Rechnung_Stufen_2_3_und_4_hd.mp4

AI Cockpit is a federal German research project, that explores possibilities to keep humans in control of complex AI systems. One of the results is an open source software system, that implements APIs and a user interface to enforce human oversight according to §14 AI Act. In this talk development team wants to introduce AI Cockpit software. Talk is supposed to introduce control concept (decisions & actions) as well as how software can be integrated into AI systems using APIs. It aims at motivating as many organizations as possible to their own versions of AI Cockpit to create standardized interfaces and to make sure, that any AI system in the European Union can be controlled and checked by humans. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3243.html

Video:froscon2025-3243-eng-Introducing_AI_Cockpit_hd.mp4

Ein intelligentes Zuhause ist heutzutage keine Nerd-Nische mehr, sondern im Alltag angekommen. Auch Sprachsteuerung ist nicht ungewöhnlich. Aber eine gute Akzeptanz setzt Verfügbarkeit voraus. In Zeiten globaler Krisen und Abschottung ist ein Cloud-freier Betrieb im Kontext von digitaler Souveränität ein wesentliches Kriterium. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3239.html

Video:froscon2025-3239-deu-Alexa_ade_-_cloudfreie_Sprachsteuerung_von_Home_Assistant_hd.mp4

Authenticating users can start simple with a username and a password for each user. But you will also need to handle forgotten passwords and user registration. You might also want to validate email addresses, add second factors and have users update their profile information as needed. A single-sign-on system like Keycloak can handle all that for you and will redirect users after they are authenticated to your applications. See how you can delegate authentication by leveraging features of OpenID Connect. We will start simple and enable more and more features in our demo to show the functionality and flexibility of Keycloak. We will also look at features of the latest release and the road map ahead. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3237.html

Video:froscon2025-3237-eng-Delegate_authentication_and_a_lot_more_to_Keycloak_with_OpenID_Connect_hd.mp4

We are revealing the FrOSCon 20 artwork, join us for the celebration. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3462.html

Video:froscon2025-3462-deu-Artwork_reveal_hd.mp4

In these days of "vibe coding" and chatbots, users ask AIs for help with everything. Asked to find security problems in Open Source projects, AI bots tell users something that sounds right. Reporting these "findings" wastes everyone's time and causes much frustration and fatigue. Daniel shows how this looks, how it creates a DDoS on projects and how totally beyond absurd this is. With examples and insights from the curl project. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3407.html

Video:froscon2025-3407-eng-AI_slop_attacks_on_the_curl_project_hd.mp4

20 Jahre FrOSCon – das sind unzählige Begegnungen, spannende Vorträge, verrückte Ideen und große Begeisterung für freie Software. 2005 entstand die Idee, 2006 ging’s mit der ersten FrOSCon los – und seitdem ist viel passiert. David Roetzel, Andreas „ScottyTM“ Kupfer und Sayeed Kleewitz-Hommelsen nehmen euch mit auf eine Reise durch die Highlights der letzten zwei Jahrzehnte – von den Anfängen bis zu dem, was die FrOSCon heute ist: ein Ort, an dem Menschen zusammenkommen, um gemeinsam Wissen zu teilen, Projekte voranzubringen und Open Source zu feiern. Moderation: Hinrikus Wolf. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3406.html

Video:froscon2025-3406-deu-20_Jahre_FrOSCon_hd.mp4

Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3405.html

Video:froscon2025-3405-eng-init_hd.mp4

Auch in diesem Jahr sammeln Oliver, Nils und Michael die Themen, Kuriositäten und Aufreger des vergangenen Open Source-Jahres auf und diskutieren gemeinsam mit dem Publikum auf der Open Source Couch. Wir begehen wieder einmal eine Reise durch 12 Monate Open Source, mit Wundern und Aufregern, mit Technik und Kultur, mit Geschichten und Geschichte und mit vielen Themen rund um Freie Software und den Menschen, die dafür und damit arbeiten. Oliver, Nils und Michael gemeinsam mit dem Publikum auf einer Rundfahrt mit Aussicht.. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3403.html

Video:froscon2025-3403-deu-State_of_the_Union_hd.mp4

At FrosCon 2024, I introduced Huey - a Light-weight ROLAP local client on top of DuckDB-WASM, that lets you pivot 100's of millions of rows with ease, directly in your browser. During this FrosCon presentation, the audience asked some tough questions and proposed some much needed features, in particular the ability to analyze large deeply nested JSON files. Thanks to this engagement, I have been able to elevate Huey to the next level! And I would love to bring the results back to FrosCon 2025. Key features, many of which were added thanks to Froscon 2024 Engagement: - Supports reading .parquet, .csv, .json and .duckdb database files. (Support for reading MS Excel .xlsx files and .sqlite is planned) - A comprehensive Attribute menu for exploring the structure of your dataset - An intuitive query builder that supports projection, aggregation, filtering, and (sub)totals - A pivot table to present analysis results - Many different aggregate functions for reporting and data exploration - Automatic breakdown of date/time columns into separate parts (year, month, quarter etc) for reporting - Support for array and STRUCT data types - Export of results and/or SQL queries to file or clipboard - Blazing fast, even for large files - courtesy of DuckDB - Truly light-weight. Huey depends on DuckDb-WASM, and Tabler Icons, but nothing more. If it makes sense, dependencies might be added, but up till now we get along fine with what the browser gives us. And that's enough. - Accessible. Huey uses semantic HTML and aria-roles. Please let us know if you find Huey has accessibility issues! - Zero install. Huey is a static webapp so you can simply download or checkout the source tree, and open src/index.html in your browser - no server required. Alternatively, use the Live demo site. Being a static webapp, Huey can run locally without a server, but there is nothing that keeps you from serving it from a webserver if you need or want to. - It's free! Huey is released under the MIT license, just like DuckDB. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3398.html

Video:froscon2025-3398-eng-Huey_Blazing_fast_Analytics_on_Parquet_CSV_and_JSON_-_right_in_your_Browser_hd.mp4

Unicode, oder besser "The Unicode Standard", ist ein Standard für das Encoding von Text. Unicode erlaubt die Verwendung aller auf der Erde verwendeten digitalen Schreibsysteme. In diesem Talk führe ich in die Grundlagen von Unicode ein und erkläre die in der Praxis verbreiteten Codierungsmöglichkeiten. Die zugrundeliegenden Standards werden genauso erwähnt wie die Herausforderungen, die bei der Verwendung von Unicode entstehen können. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://programm.froscon.org/2025/events/3392.html

Video:froscon2025-3392-deu-Unicode_fuer_Anfaenger_hd.mp4