Golem.de Full über fivefilters.org

Autonomes Fahren: Waymo killt Kitkat

Waymo erklärte, das Fahrzeug habe zunächst gestanden, um einen Fahrgast aufzunehmen. Beim Anfahren sei "ein in der Nähe befindliches Tier unter das Fahrzeug gelaufen" .

Das Unternehmen sprach den Betroffenen sein Beileid aus. Nach bisherigem Stand gibt es keine Hinweise auf Fehlfunktionen oder Regelverstöße, doch der Fall lenkt erneut Aufmerksamkeit auf die Schwächen autonomer Systeme in Alltagssituationen.

Besonders das Erkennen kleiner, sich schnell bewegender Objekte gilt weiterhin als technische Herausforderung. Auch Fahrzeuge mit Lidar-, Radar- und Kamerasensoren reagieren in Sekundenbruchteilen – beim Übergang vom Stillstand zum Anfahren kann es dabei zu Wahrnehmungslücken kommen.

Ist die Technik wirklich schon so weit?

Waymo betont, dass der "Waymo Driver" ständig weiterentwickelt werde und durch groß angelegte Datensätze immer präzisere Bewegungsmodelle erlerne. Nach früheren kleineren Rückrufen und Softwareupdates sieht sich das Unternehmen technisch auf Kurs.

Der Vorfall fällt in eine Phase, in der Waymo seine Robotaxi-Flotte zügig ausbaut. In den USA verkehren die Fahrzeuge bereits in San Francisco, Los Angeles, Phoenix, Austin und Atlanta, bis 2026 soll die Zahl von derzeit rund 1.500 auf über 3.000 steigen. Neue Testgebiete in über zehn weiteren Städten sind in Vorbereitung.

International steht Waymo kurz vor dem Markteintritt: In London sind erste Testfahrten mit Sicherheitsfahrer vor Ende 2025 geplant, fahrerlose Dienste sollen dort 2026 starten. In anderen Regionen beschränken sich die Aktivitäten bisher auf Kooperationen und Forschung.

Der Tod der "Mayor of 16 ^th Street" mag wie ein lokales Ereignis erscheinen, doch er verdeutlicht die zentrale Herausforderung des autonomen Fahrens: Selbst hochentwickelte Systeme müssen lernen, auch das Unerwartete im Stadtverkehr rechtzeitig zu erkennen.

Adblock test (Why?)

iMonitor Internetstörungen

Störungsmeldung vom 02.11.2025 08:00

Neue Störungsmeldung für Provider Telecolumbus

Details

Beginn

02.11.2025 08:00

Region

München (089)

Provider

Telecolumbus

Zugangsart

Kabel

Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden

c't-Themen

c’t-Story: Das Ende der perfekten Vermessung

Exakte Messwerte spielen für manchen eine geradezu religiöse Rolle. So gesehen läutet Ichendorfs unmögliche Quadratgeschichte eine Art Götterdämmerung ein.

Kaum jemand kennt Ferdinand Ichendorf, dabei war sein Abgang aus dieser Welt spektakulär und geschah vollends im Dienste der … na, sagen wir mal: Wissenschaft.

Seine Schriften zeigen einen Geist von Brillanz und unerbittlicher Logik, zugleich aber auch eine tragische Unbeholfenheit, die ihn letztlich ins Desaster führte.

Das Unheil, in das er geraten sollte, begann an einem Tag, der schon durch Düsternis, Regen und herbstliche Kälte dazu mahnte, lieber im Bett zu bleiben.

URL dieses Artikels:
https://www.heise.de/-10689437

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/c-t-Story-Das-Ende-der-perfekten-Vermessung-10689437.html
[2] https://www.heise.de/hintergrund/c-t-Story-Das-Erbe-10643408.html
[3] https://www.heise.de/hintergrund/c-t-Story-Die-Rueckkehr-der-Dinge-10638124.html
[4] https://www.heise.de/hintergrund/c-t-Story-Ein-Quaentchen-Glueck-10516016.html
[5] https://www.heise.de/hintergrund/c-t-Story-Smarte-Traenen-10497055.html
[6] https://www.heise.de/hintergrund/c-t-Story-Notchoc-im-Himmel-10485480.html
[7] https://www.heise.de/hintergrund/c-t-Story-Der-Tracker-10458471.html
[8] https://www.heise.de/hintergrund/c-t-Story-Die-Torpedo-10440225.html
[9] https://www.heise.de/hintergrund/c-t-Story-Sphaerenklaenge-10375646.html
[10] https://www.heise.de/hintergrund/c-t-Story-Der-Loewenkoenig-10367901.html

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

2 Megatonnen Sprengkraft – Putins Poseidon-Torpedo könnte 130 Hiroshima-Bomben ersetzen

Russland hat erstmals den nuklearen Antrieb der Waffe aktiviert. Das System fällt nicht unter bestehende Rüstungskontrollverträge.

Ende Oktober erklärte der russische Präsident Wladimir Putin, sein Land habe erfolgreich den nukleargetriebenen Torpedo getestet. Putin erklärte bei einem Besuch von verwundeten russischen Soldaten in einem Moskauer Krankenhaus, es sei erstmals gelungen, das Waffensystem nicht nur von einem U-Boot aus zu starten, sondern auch dessen nuklearen Antrieb zu aktivieren.

"So etwas gibt es bisher nicht", betonte Putin über das auch als 2M39 Status-6 bekannte System. Das Waffensystem gehört zu sechs "Superwaffen", die Putin 2018 in einer Rede offiziell vorgestellt hatte [1].

Torpedo oder Unterwasserdrohne mit nuklearem Antrieb

Über die genauen technischen Daten von Poseidon, benannt nach dem griechischen Meeresgott, gibt es nur wenige bestätigte Informationen [2]. The War Zone gibt eine Länge von 20 Metern, einen Durchmesser von 1,8 Metern und ein Gewicht von 110 Tonnen an.

Das System hat eine geschätzte Reichweite von 10.000 Kilometern und soll 185 Kilometer pro Stunde schnell sein. Letzteres ist von Experten allerdings infrage gestellt worden. Die Tauchtiefe soll 1000 Meter erreichen. Die in Indien erscheinende Economic Times erwähnt eine autonome Steuerung [3], ohne allerdings Details zu nennen.

Hohe Sprengkraft, extreme Reichweite

Der Torpedo wird von einem Reaktor angetrieben, der möglicherweise mit flüssigem Metall gekühlt wird. Experten gehen davon aus, dass er einen Gefechtskopf mit zwei Megatonnen Sprengkraft tragen kann. Diese Sprengkraft entspricht mehr als dem 130-fachen der Hiroshima-Bombe mit 15 Kilotonnen TNT Sprengkraft.

Mit seinem nuklearen Antrieb kann die Waffe über extrem lange Zeiträume durch die Ozeane kreuzen, bevor sie einen Angriff ausführt.

Es sind immer wieder Berichte erschienen, die dem Torpedo die Fähigkeit unterstellen, einen radioaktiven Tsunami erzeugen zu können. Solche Einschätzungen sind jedoch eher der übereifrigen Fantasie von Menschen geschuldet, die die Sache nicht zu Ende gedacht [4] haben. Militärexperten vermuten vielmehr, dass Poseidons Aufgabe darin besteht, Küstenanlagen ohne oder mit nur sehr geringer Vorwarnzeit zu treffen.

Weltgrößtes U-Boot als Trägerplattform

Als Startplattform für Poseidon dient derzeit das U-Boot Belgorod der russischen Marine. Die auch als K-329 bekannte Belgorod wurde 2022 in Dienst gestellt [5] und ist mit 184 Metern Länge das weltgrößte U-Boot.

Wie The War Zone schreibt, ist die Belgorod wohl als eine Art Mutterschiff konzipiert, das verschiedene Tiefseedrohnen, ein nukleargetriebenes Mini-U-Boot und sogar ein Untersee-Kernkraftwerk zur Versorgung eines Untersee-Sensornetzes aussetzen kann. Das U-Boot kann sechs Poseidon-Torpedos mitführen.

Moskau plant wohl, drei U-Boote des Belgorod-Typs in Dienst zu stellen.

Eine neue Waffenkategorie

Der Poseidon-Torpedo stellt allerdings eine gänzlich neue Kategorie dar, deren Fähigkeiten zwischen einem Torpedo und einem unbemannten Unterwasserfahrzeug liegen. Rüstungskontroll-Experten geben zu bedenken, dass die Waffe nicht in die herkömmlichen Klassifizierungen nuklearer Abschreckung passt.

Namentlich Igor Korotchenko, Chefredakteur des Magazins National Defense und Militäranalyst, erklärte gegenüber der amtlichen russischen Nachrichtenagentur TASS, dass die Waffe nicht unter bestehende Verträge zur Begrenzung strategischer Waffen [6] falle.

Er drückte seine Hoffnung aus, dass das System die USA dazu motivieren könnte, Moskaus Vorschlag zu unterstützen, den New-START-Vertrag um mindestens ein Jahr zu verlängern. Ein entsprechendes Angebot [7] hatte Putin im September unterbreitet.

Neue Rüstungskontrollverhandlungen fraglich

Somit hat Moskau jetzt ein weiteres deutliches Signal an die USA gesendet, dass man bereit ist, über die neu entwickelten Waffen zu verhandeln. Der New-START-Vertrag ist das letzte große Rüstungskontrollabkommen zwischen den USA und Russland und läuft im Februar 2026 aus.

Korotchenko schlug überdies vor, dass eine Verlängerung als Grundlage für Verhandlungen über künftige nukleare Rüstungspolitik dienen könnte. "Solche Gespräche könnten die Vereinigten Staaten dazu bewegen, Kommunikationskanäle mit Moskau zu etablieren."

In den USA beurteilt man die Dinge offensichtlich vollkommen anders. Als Reaktion auf russische Tests von Atomwaffenträgersystemen will US-Präsident Donald Trump angeblich "unverzüglich" wieder Atombombentests durchführen lassen [8].

Bisher gibt es keine unabhängige Bestätigung, dass der Test der Poseidon tatsächlich stattgefunden hat. Am 28. Oktober wurden jedoch sechs nicht identifizierte Schiffe vor der Küste von Nowaja Semlja [9] gesichtet, einem für Waffentests genutzten Archipel in der Arktis.

URL dieses Artikels:
https://www.heise.de/-10965997

Links in diesem Artikel:
[1] https://www.chathamhouse.org/2021/09/advanced-military-technology-russia/03-putins-super-weapons
[2] https://www.twz.com/sea/powered-test-of-poseidon-nuclear-torpedo-putin-claims
[3] https://economictimes.indiatimes.com/news/international/us/after-the-burevestnik-missile-russia-now-tests-the-poseidon-2m39-torpedo-what-are-its-features-and-how-deadly-is-it/articleshow/124910528.cms
[4] https://www.youtube.com/watch?v=9tbxDgcv74c
[5] https://marineforum.online/russische-marine-stellt-weltgroesstes-u-boot-in-dienst/
[6] https://tass.com/politics/2037351
[7] https://www.deutschlandfunk.de/russlands-praesident-putin-bietet-verlaengerung-des-ruestungskontrollvertrags-zur-begrenzung-von-str-102.html
[8] https://www.tagesschau.de/ausland/amerika/atomwaffentests-usa-100.html
[9] https://www.google.de/maps/place/Nowaja+Semlja/@67.0945684,26.3658474,4.17z/data=!4m6!3m5!1s0x44f04c113874c59f:0x444824cd48c662f4!8m2!3d73.7540844!4d60.2501934!16zL20vMG0zNHI

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

Ist Leucin der geheime Booster für unsere Gesundheit?

Aminosäure reguliert Zellkraftwerke binnen Stunden. Kölner Forscher zeigen: Leucin beeinflusst Proteine und Atmung der Mitochondrien.

Forscher der Universität zu Köln haben einen Mechanismus entdeckt, wie die Aminosäure Leucin die Funktion der Mitochondrien innerhalb weniger Stunden steuert. Die Ergebnisse [1] wurden in Nature Cell Biology veröffentlicht und könnten Ansätze für Therapien bei Stoffwechselkrankheiten eröffnen.

Wie Leucin die Zellkraftwerke ankurbelt

Mitochondrien erzeugen die Energie, die der Körper zum Leben benötigt. Das Team um Professor Thorsten Hoppe vom Exzellenzcluster CECAD fand heraus: Leucin verhindert den Abbau bestimmter Proteine an der äußeren Hülle der Mitochondrien. Diese Proteine ermöglichen den Import weiterer Moleküle in die Kraftwerke. Bleiben sie erhalten, arbeiten die Mitochondrien effizienter.

"Wir waren begeistert, als wir entdeckten, dass der Nährstoffstatus einer Zelle – insbesondere der Leucinspiegel – die Energieproduktion direkt beeinflusst", sagt Erstautor Qiaochu Li laut Pressemitteilung [2]. Leucin ist eine essenzielle Aminosäure aus eiweißreichen Lebensmitteln wie Milchprodukten, Fleisch und Hülsenfrüchten.

Der Mechanismus: Eine molekulare Kettenreaktion

Leucin hemmt ein Sensorprotein namens GCN2. Dadurch wird ein weiteres Protein, SEL1L, an den Mitochondrien reduziert. SEL1L markiert normalerweise beschädigte Proteine zum Abbau.

Wird es durch Leucin heruntergefahren, bleiben mehr intakte Proteine an der Mitochondrienmembran erhalten – besonders jene, die für den Stoffimport zuständig sind.

Bereits nach drei Stunden Leucin-Gabe stieg die mitochondriale Atmung in menschlichen Zellen und im Fadenwurm C. elegans messbar an. Die Atmung zeigt, wie aktiv die Mitochondrien Energie gewinnen. Wichtig: Nur Leucin zeigte diese Wirkung, nicht die verwandten Aminosäuren Isoleucin oder Valin.

Von der Zelle zur Krankheit

Die Forscher untersuchten eine Mutation im Enzym BCAT2, die bei Menschen zu erhöhten Leucin-Werten führt. Im Wurm-Modell stabilisierte diese Mutation Proteine an den Mitochondrien.

Wurde zusätzlich der Sensor GCN2 gestört, sank die Fruchtbarkeit deutlich – ein Hinweis darauf, dass das Gleichgewicht zwischen Leucin-Stoffwechsel und Proteinabbau für die Fortpflanzung wichtig ist.

Bei Lungenkrebszellen mit erhöhten Leucin-Spiegeln entdeckten die Forschenden eine Besonderheit: Diese Zellen waren widerstandsfähiger gegen Hemmstoffe des mitochondrialen Proteinimports. Das könnte für künftige Krebstherapien relevant sein.

Vorsicht bei Anwendungen

Li erklärte:

Die Regulierung des Leucin- und SEL1L-Spiegels könnte eine Möglichkeit sein, die Energieproduktion zu steigern. Trotzdem sollte man vorsichtig sein: SEL1L trägt maßgeblich dazu bei, die Anhäufung geschädigter Proteine zu verhindern, und ist damit entscheidend für die langfristige Gesundheit der Zellen.

Die Studien verwendeten hohe Leucin-Konzentrationen über kurze Zeiträume. Wie normale Ernährungsmengen langfristig wirken und ob sich Effekte auf die Lebensspanne zeigen, bleibt offen.

URL dieses Artikels:
https://www.heise.de/-10966071

Links in diesem Artikel:
[1] https://doi.org/10.1038/s41556-025-01799-3
[2] https://idw-online.de/de/news860702

Copyright © 2025 Heise Medien

Adblock test (Why?)

Golem.de Full über fivefilters.org

Anzeige: Neue Top-Jobs in Architektur, Administration und Entwicklung

Die Digitalisierung von Energieversorgung, Verwaltung und Sicherheitsbehörden erfordert zunehmend spezialisierte IT-Fachkräfte mit Know-how in Administration, Softwareentwicklung und Infrastruktur. Die folgenden Stellen decken ein breites Themenspektrum ab – von KI-gestützter Systempflege bis zur High-Performance Computing-Architektur.

Im Golem Jobmarkt finden sich aktuelle Positionen in Forschungseinrichtungen, öffentlichen Institutionen und technologieorientierten Unternehmen.

Folgend findest du eine Auswahl an aktuellen Top-Positionen:

• IT-Manager (m/w/d) : Die Raumtechnik Messebau & Event Services GmbH in Ostfildern benötigt eine IT-Fachkraft zur Betreuung und Weiterentwicklung der internen Systeme – inklusive Schnittstellenmanagement, KI-Lösungen und Mitarbeiterschulungen.

• Systemadministratorin (m/w/d) : Die Aktivband AG sucht Verstärkung für ihre technische Infrastruktur. Erste Erfahrungen im Bankenumfeld und Kenntnisse im Netzwerkbetrieb, Support und der Dokumentation sind gefragt.

• Expert*in für IT-Architektur (m/w/div) : Die Deutsche Rentenversicherung bietet in Berlin oder Würzburg eine verantwortungsvolle Position für IT-Architektinnen und IT-Architekten mit fundiertem Wissen in Virtualisierung, Automatisierung und Infrastrukturplanung.

• System Engineer / Linux Systemadministrator (m/w/d) : Bei Pro-com Datensysteme liegt der Fokus auf High-Performance Computing. Die Position umfasst Planung, Aufbau und Betreuung komplexer Linux-basierter Rechencluster – remote oder vor Ort in Eislingen.

• IT-Systemadministrator Linux / VMware / Veeam / Storage (m/w/d) : Die ESWE Versorgungs AG in Wiesbaden ist auf der Suche nach Unterstützung im Bereich IT-Betrieb – mit Fokus auf Monitoring, Back-up-Lösungen, Virtualisierung und Speichertechnologien.

• Mitarbeiterin / Mitarbeiter (w/m/d) im Bereich SAP-Programmierung : Der Bundesnachrichtendienst bietet in Berlin eine Position für Fachkräfte zur SAP-Anpassung, Prozessoptimierung und Anwendungsbetreuung – unter anderem in den Modulen Finanzen, Logistik und Personalwesen.

IT-Profis finden im Golem Jobmarkt eine spezialisierte Suchumgebung für IT-Fachkräfte – mit modernen Funktionen wie einem KI-gestützten Lebenslaufgenerator, einem Tool zur automatisierten Erstellung von Anschreiben sowie einem persönlichen Job-Alarm. Stellenausschreibungen lassen sich durch intelligente Filter nach Positionen im öffentlichen Sektor, Remote-Anteil, Fachgebiet oder Branche gezielt eingrenzen.

Bei Fragen zur Nutzung des Jobmarkts oder zu den Angeboten der Golem Karrierewelt steht dir das Team werktags zwischen 8 und 18 Uhr zur Verfügung – telefonisch, per E-Mail oder direkt über unseren KI-Chatbot Klara. Alle Informationen, Tools und Weiterbildungen sind zentral über die Golem Karrierewelt erreichbar.

Weiterbildung gefällig? In der Trainingssuche der Golem Karrierewelt findest du Onlineworkshops, E-Learnings und weitere Bildungsangebote zu sämtlichen aktuellen IT-Themen wie Security, künstliche Intelligenz oder Cloud.

Adblock test (Why?)

heise Security

Docker Image Security – Teil 3: Minimale, sichere Container-Images selbst bauen

Minimale Container-Images reduzieren Schwachstellen durch weniger Komponenten. Anleitung für eigene Images mit Ubuntu Chiseled, WolfiOS und Azure Linux.

Minimale Container-Images verzichten auf Komponenten wie Shells oder Paketmanager, die zur Laufzeit normalerweise nicht gebraucht werden. Sie sind auch als "distroless" oder "chiseled" Images bekannt. Weil weniger Komponenten weniger Schwachstellen bedeuten, reduzieren diese Images die Angriffsfläche und erhöhen dadurch die Sicherheit.

Schlüsselfertige Images für ein Basis-Linux sowie die Sprachen PHP, Python, Java, C# und Node.js hat Teil 2 der Artikelserie [4] vorgestellt. Diese vorkonfektionierten Images passen jedoch nicht immer zu den eigenen Anforderungen und es kann notwendig sein, eigene zu erstellen. Dieser Artikel zeigt, wie Softwareentwicklerinnen und -entwickler eigene minimale Images basierend auf den Angeboten Ubuntu Chiseled, Chainguard/WolfiOS und Azure Linux bauen (siehe die folgende Tabelle).

Bauen von Ubuntu Chiseled Images

Canonical verwendet die Bezeichnung "Chiseled" für minimale, Ubuntu-basierte Images. Ein Blogbeitrag [5] stellt das Chisel-CLI von Ubuntu vor. Chisel ist ein Build-Tool, das Entwickler mit der gewünschten Ubuntu-Version (beispielsweise "24.04") und einer Liste von "Slices" aufrufen, die Chisel zu einem neuen Root-Filesystem zusammenbaut. Dieses Filesystem kopiert man anschließend in ein leeres scratch [6]-Image, wie der Ablaufplan in Abbildung 1 verdeutlicht:

Das Ubuntu-Team hat einige (jedoch nicht alle) der offiziellen Ubuntu-Pakete in mehrere Slices aufgeteilt und diese auf GitHub veröffentlicht [7]. Falls Slices für ein gewünschtes Paket fehlen, sollte man auf andere im Artikel erwähnte Ansätze wechseln. Denn bestehende GitHub Issues zeigen, dass reine Feature-Requests lange oder gänzlich ignoriert werden, und der Zeitinvest für die Einarbeitung für eigene Pull Requests (PRs) hoch ist.

Aufbauend auf Chisel stellt Canonical zudem das Rockcraft-Tool zur Verfügung, das auf einer höheren Abstraktionsebene arbeitet.

Verwenden des Chisel CLI

Bevor Entwickler tiefer in den Build-Prozess von Ubuntu Chiseled-Images einsteigen, sollten sie sich der folgenden zwei Einschränkungen bewusst sein:

1. Es lassen sich nur Pakete installieren, für die das Ubuntu-Team bereits Slice-Definitionen erstellt hat. Die Slices unterscheiden sich je nach Ubuntu-Version (beispielsweise hat 22.04 andere Slices als 24.04). Das ist insbesondere beim Erstellen eines Image für einen Interpreter einer Programmiersprache wie Java, Node.js oder Python relevant. Dabei stehen lediglich die in der jeweiligen Distro-Version mitgelieferten Interpreter-Versionen zur Verfügung. So gibt es bei Python im neuesten Ubuntu-LTS-Release (24.04) nur Python 3.12.3. Neuere 3.12-Versionen (oder 3.13) fehlen. Für Python 3.12.3 hat Ubuntu jedoch zumindest die seit dieser Version 3.12.3 bekannt gewordenen Schwachstellen behoben (sogenannte "Backports").
2. Es ist nicht möglich, die Versionen der Pakete oder Slices zu pinnen! Das Chisel CLI installiert immer die aktuelle Version des Pakets, die zum Zeitpunkt der Chisel-Ausführung im offiziellen Ubuntu-Repo verfügbar ist.

Der einfachste Weg, ein Chiseled-Image zu erstellen, ist ein Docker Multi-Stage Build. Wie man für ein Python-Image (mit Python 3.12.3) auf Basis von Ubuntu 24.04 vorgeht, erklärt das offizielle Chisel-Tutorial [8].

Da Schwachstellenscanner wie Trivy oder Grype die Pakete im frisch gebauten Image leider nicht korrekt identifizieren können, sind weitere Anpassungen am Dockerfile nötig. Der Grund dafür, warum die Scanner relevante Schwachstellen übersehen, geht aus einem GitHub Issue [9] hervor: Ubuntu hat entschieden, für Chisel-Images ein eigenes proprietäres Paket-Manifest-Format zu erfinden, das Scanner wie Trivy bisher nicht verstehen.

Ubuntu versucht daher mit Scanner-Anbietern zusammenzuarbeiten, wie beispielsweise eine GitHub-Diskussion [10] zu Trivy zeigt. Bis es so weit ist, können Entwickler einen Workaround nutzen: Das chisel-wrapper [11]-Skript generiert Metadaten im Standard-Debian-Paket-Format, das Scanner wie Trivy verstehen. Dazu sind im Dockerfile des Multi-Stage-Builds (vom offiziellen Tutorial [12]) folgende Änderungen vorzunehmen:

# Einfügen der folgenden 3 RUN-Zeilen, irgendwo vor dem "chisel cut" Befehl des Tutorials:
# "file" wird vom chisel-wrapper script benötigt
RUN apt-get update && apt-get install -y git file  
RUN git clone --depth 1 -b main https://github.com/canonical/rocks-toolbox /rocks-toolbox && mv /rocks-toolbox/chisel-wrapper /usr/local/bin/ && rm -rf /rocks-toolbox
RUN mkdir -p /staging-rootfs/var/lib/dpkg
# Ersetzen der RUN-Zeile, die den "chisel cut" Befehl ausführt, mit folgender Zeile:
RUN chisel-wrapper --generate-dpkg-status /staging-rootfs/var/lib/dpkg/status -- --release "ubuntu-$UBUNTU_RELEASE" --root /staging-rootfs <space-separated-chisel-list>

Ein vollständiges Beispiel für Python 3 liegt im GitHub [13]-Repository des Autors öffentlich parat. Es veranschaulicht den Build einer Flask-basierten Demo-Anwendung. Zudem demonstriert es, wie man ein Problem löst, das dadurch entsteht, dass der Python-Interpreter im Chiseled Basis-Image an einem anderen Pfad liegt als beim python [14]-Image, das in der Build-Stage verwendet wird. Ein weiteres GitHub-Gist [15] des Autors zeigt, wie man ein Chiseled Java JRE-Image erstellt und darin die Springboot-Petclinic-Anwendung ausführt.

Verwendung des Rockcraft CLIs

Ein weiterer Ansatz, Ubuntu Chiseled Images zu erstellen, ist das Rockcraft [16]-CLI, das auf einer höheren Abstraktionsebene als Chisel arbeitet.

Rockcraft greift intern auf Chisel zurück, um das Root-Filesystem zu erstellen. Über eine von Rockcraft eingelesene YAML-Datei legt man deklarativ die folgenden Aspekte fest:

• Die Ubuntu-Version, deren Slices verwendet werden sollen
• Die Liste der zu installierenden Slices
• Die CPU-Architekturen, für die Rockcraft das Image erstellen soll (für Multiplattform-Builds)
• Welcher Nicht-Root-Linux-User erstellt und automatisch beim Image-Start verwendet werden soll
• Welche Linux-Services zum Image-Start mit dem Pebble [17] Service-Manager gestartet werden sollen (Pebble ist eine Alternative zu systemd)

Mit Rockcraft erstellte, vorgefertigte Images lassen sich mit dem Suchbegriff "chisel" in der Canonical GitHub-Organisation finden, beispielsweise:

• Node.js [18], das Canonical regelmäßig baut und zu ubuntu/node [19] pusht
• Python [20], das Canonical regelmäßig baut und zu ubuntu/python [21] pusht
• RabbitMQ [22], das Canonical regelmäßig baut und zu ubuntu/rabbitmq [23] pusht

Die größten Nachteile von Rockcraft sind:

• Rockcraft macht den Build-Prozess durch zusätzliches Tooling komplexer (verglichen mit einem direkten Chisel-CLI-Aufruf).
• Es erzwingt die Nutzung des Pebble Service Managers, der als ENTRYPOINT für das Image gesetzt wird. Dies ist unnötig, denn im Gegensatz zur Vorgehensweise bei virtuellen Maschinen (VMs) sind Service-Manager bei Containern nicht üblich. In diesen Umgebungen ist es gewollt, dass der gesamte Container beendet wird, wenn das im ENTRYPOINT festgelegte Programm abstürzt. Denn Container Runtimes wie Docker Compose oder Kubernetes überwachen den Container-Status und starten ihn dann neu. Zudem finden Schwachstellenscanner wie Trivy im Pebble-Binary häufig CVEs. Diese stellen zwar meistens keine Bedrohung dar, verursachen allerdings unnötigen Diagnose-Aufwand.
• Die von Rockcraft generierten Images verwenden den chisel-wrapper-Trick für Schwachstellenscanner nicht. Folglich können diese die im Image installierten Komponenten nicht korrekt identifizieren und keine Schwachstellen melden.

Um sichere, minimale Images zu erstellen, ist es daher empfehlenswert, direkt das Chisel-CLI statt Rockcraft zu verwenden. Dennoch lohnt sich ein Blick in die stage-packages-Einträge der rockcraft.yaml-Dateien in den oben gelisteten Repositorys (beispielsweise für Python [24]), um eine Idee dafür zu bekommen, welche Slices im eigenen Image sinnvoll sind.

Bauen von WolfiOS/Chainguard Images

Chainguard ist einer der größten Anbieter für sichere, minimale Container-Images. Mit WolfiOS hat das Unternehmen einen umfangreichen Katalog von Open-Source-Software-Paketen aufgebaut, die im Alpine-APK-Format vorliegen. Ergänzend dazu hat Chainguard ein Build-Tool namens Melange als Open Source veröffentlicht, mit dem Anwender neue APK-Pakete erstellen, basierend auf einem als YAML-Datei definierten Rezept. Im Prinzip ist WolfiOS eine öffentliche Sammlung von über 3000 Melange-Rezepten für Open-Source-Pakete, die von Chainguard und der Community gepflegt werden. Man findet die Sammlung auf GitHub. Chainguard baut in seiner eigenen Infrastruktur die Binär-APKs regelmäßig für die 64-Bit-Intel/AMD- und ARM-CPU-Architekturen. Die APKs kann man auf dag.dev einsehen.

Verglichen mit anderen Linux-Distributionen ist Chainguard sehr schnell darin, Versions-Updates der Pakete in WolfiOS zu integrieren – meist innerhalb weniger Tage. Demgegenüber benötigt beispielsweise Ubuntu häufig mehrere Monate oder gar Jahre, bis etwa eine neue Python-Major-Version integriert ist.

Basierend auf dem WolfiOS Paket-Repository erstellt Chainguard dann Container-Images mit dem Open-Source-Tool apko [25]. Wie bei Melange konfigurieren Anwender apko mit einem YAML-Rezept. In diesem geben sie die Liste der Pakete an (mit optionalem Versions-Pinning) und konfigurieren Umgebungsvariablen und eigene Linux-Benutzer. Apko generiert dann ein Image (und zugehörige SBOM) aus diesem Rezept und pusht es optional in eine Registry.

Obwohl WolfiOS auf Alpines Paketformat basiert, sind die von apko erzeugten Images nicht Alpine-basiert. Daher ist die zugrunde liegende C-Bibliothek (sofern überhaupt eine im Image vorhanden ist) nicht musl, sondern glibc.

Chainguard baut viele schlüsselfertige Images und stellt sie in einem Image-Katalog [26] zur Verfügung. Die Firma verdient ihr Geld damit, Unternehmen diese Images im Abo-Modell zu verkaufen, inklusive älterer (noch offiziell gepflegter) Versionen wie etwa Python 3.11.

Bauen von Images mit apko

Möchte man mit apko ein Image mit WolfiOS-Paketen erstellen, besteht die Herausforderung darin, ein korrektes apko-Rezept zu entwerfen. Der Image-Katalog [27] von Chainguard hilft dabei, die richtigen Werte zu finden.

Das folgende Rezept erstellt ein minimales Runtime-Image mit Python 3.11 ohne Shell, C-Compiler oder pip:

contents:
  repositories:
    - https://packages.wolfi.dev/os
  keyring:
    - https://packages.wolfi.dev/os/wolfi-signing.rsa.pub
  packages:
    - python-3.11

entrypoint:
  command: /usr/bin/python

accounts:
  groups:
    - gid: 65532
      groupname: nonroot
      members: []
  users:
    - gid: 65532
      homedir: "/home/nonroot"
      shell: ''
      uid: 65532
      username: nonroot
  run-as: '65532'

archs:
  - amd64
  - arm64

Für jedes zu erstellendes Image sind die korrekten Werte für folgende Aspekte zu ermitteln:

• Enthaltene Pakete: Im YAML-Rezept ist contents.packages ein String-Array mit Paketnamen. Beim Bauen des Rezepts sollte man so wenige Einträge wie möglich angeben. Viele Pakete referenzieren implizit und rekursiv weitere Pakete. Das explizite Pinnen von Versionen ist mit der Syntax <package-name>~<major.minor.patch> möglich (Details dazu finden sich in der Chainguard Academy [32]).
• ENTRYPOINT und CMD: Bei apko wird der ENTRYPOINT (wie man ihn von Dockerfiles kennt) in entrypoint.command gesetzt, während CMD im YAML auf Root-Ebene in cmd festgelegt wird.
• Linux-Benutzerkonten: In accounts kann man Benutzer anlegen und festlegen, welcher Benutzer standardmäßig aktiv ist. Die meisten Chainguard-Images verwenden die Werte aus dem obigen Listing-Beispiel.
• Umgebungsvariablen: In einigen Fällen muss man im Rezept zusätzliche Umgebungsvariablen hinzufügen. Das gilt jedoch nicht für die Variablen PATH und SSL_CERT_FILE, da apko diese bereits implizit setzt.

Die vollständige Spezifikation für das YAML-Dateiformat des Rezepts findet sich auf GitHub [33]. Mit dem folgenden Vorgehen lassen sich die korrekten Werte für das Rezept bestimmen:

• Man installiert apko (oder benutzt dessen Container-Image) wie in der README von apko [34] beschrieben.
• Um die Linux-Benutzerkonten sowie ENTRYPOINT und CMD zu bestimmen, öffnet man das Image im Image-Katalog [35] von Chainguard und verwendet die Werte aus dem Specifications-Tab. Dabei muss das richtige Image-Tag im Dropdown "Version" ausgewählt sein.
• Um die richtigen packages zu bestimmen, wechselt man zum SBOM-Tab des Images (und wählt vorher erneut das richtige Image-Tag im “Version”-Dropdown aus). Zunächst trägt man das am relevantesten erscheinende Paket ins Rezept ein. Dann führt man in der Shell den Befehl apko show-packages your-recipe.yaml | sort aus, der die alphabetisch sortierte Liste aller rekursiv aufgelösten Pakete ausgibt. Stimmt diese Liste mit der im SBOM-Tab des Browsers überein, ist man fertig. Andernfalls muss man mindestens ein weiteres der fehlenden Pakete zu seinem YAML-Rezept hinzufügen, den Befehl apko show-packages erneut ausführen und den Vergleich wiederholen.

Ein konkretes Beispiel für das Image python:3.12-dev soll den Prozess verdeutlichen. Ein Dev-Image enthält alle Entwicklertools, daher sollten Entwickler es in der Build-Stage eines Multi-Stage-Dockerfiles verwenden, wie es die Dokumentation [36] von Chainguard erklärt. Ein Blick auf das SBOM-Tab [37] zeigt, dass "python-3.12-dev" ein guter erster Kandidat ist, denn dev-Meta-Pakete referenzieren für die Entwicklung relevante zusätzliche Komponenten. Der Befehl apko show-packages löst dieses Paket lediglich zu 27 Paketen auf, während das SBOM-Tab 74 Pakete auflistet (75, wenn man das chainguard-baselayout-Paket mitzählt). Um Schritt für Schritt herauszufinden, welche Pakete noch fehlen, könnte ein Vergleich beider Listen in ChatGPT helfen.

Eine bessere Methode ist jedoch, in den Quellcode [38] des Python-Images zu sehen: Dessen extra_dev_packages-Eintrag liefert den Hinweis, dass die Pakete build-base, py3-pip und uv hinzugefügt werden müssen. Ein anschließender erneuter Vergleich zeigt, dass immer noch 22 Pakete fehlen, darunter apk-tools, bash, busybox, git und wget. Erst nach deren Hinzufügen stimmen die Pakete mit den Angaben im SBOM-Tab überein. Folglich ist dies die Liste der Pakete für das python:3.12-dev Image:

contents:
  packages:
    - python-3.12-dev
    - py3.12-pip
    - build-base
    - uv
    - apk-tools
    - bash
    - busybox
    - git
    - wget

Sobald ein fertiges apko-Rezept vorliegt, kann man das Image auf folgende Arten bauen und pushen:

Soll das Image zunächst nur lokal ausgeführt werden, verwendet man den Befehl apko build pfad-zum-rezept.yaml image-name:tag pfad zur-tar-datei, gefolgt von docker load < pfad zur-tar-datei. Anschließend lässt sich das Image mit docker run image-name:tag ausführen. Apko erzeugt dabei standardmäßig eine separate SBOM-Datei für jede CPU-Architektur (im SPDX-Format) und legt sie neben der tar-Datei ab (beispielsweise sbom-x86_64.spdx.json).

Um das Image jedoch in einem Schritt bauen und pushen zu können, führt man apko publish pfad-zum-rezept.yaml image-name:tag aus (wobei der image-name den Server-Host der Registry beinhalten muss, z.B. myregistry.com/project/someimage). Dieser Befehl baut das Image (falls nötig) nochmal neu und pusht es anschließend.

Falls die Registry eine Authentifizierung erfordert, kann apko auf die Anmeldedaten zugreifen, die man zuvor via docker login konfiguriert hat.

Ein großer Vorteil von apko ist, dass die Image-Builds reproduzierbar sind. Ruft man apko publish zweimal mit dem gleichen Rezept auf (auf verschiedenen Maschinen), wird genau das gleiche Image mit denselben Manifesten und Digests erzeugt, solange die aufgelösten WolfiOS-Pakete (und deren Versionen) zum Aufrufzeitpunkt gleich sind.

Reproduzierbarkeit ist aus verschiedenen Gründen eine technische Herausforderung. Beispielsweise enthalten die Image-Manifeste Zeitstempel, wann der Build erzeugt wurde. Diese Zeitstempel ändern sich bei den meisten Build-Tools (z.B. "docker build" eines Dockerfiles) bei jedem Build, sodass sich auch die Image-Digests ändern. apko verwendet jedoch nicht die aktuelle Zeit für die Build-Zeitstempel, sondern den Zeitpunkt, an dem das zuletzt aktualisierte WolfiOS-Paket gebaut wurde.

Bei der Ausführung von apko publish lädt apko zudem die SBOMs des Images in die Registry hoch, und verwendet dabei den Attachment-Modus, bei dem apko zusätzliche Image-Tags nach dem Schema "sha256-<image-hash>.sbom" erstellt. Diese Anhänge sind nicht signiert und sollten daher nicht mit (kryptographisch verifizierbaren) SBOM-Attestierungen verwechselt werden, wie sie unter anderem cosign attest erzeugt.

Zur Veranschaulichung stellt der Autor auf GitHub [39] ein vollständiges Beispiel zur Verfügung, das den Build eines Chainguard-basierten Python 3.12-Basis-Images zusammen mit einer Beispielanwendung demonstriert.

Bauen von Azure Linux Distroless Images

Microsofts Linux-Distribution trägt seit Version 3 den Namen von Azure Linux [40]. Die im Jahr 2020 gestartete Entwicklung erfolgte noch unter der Bezeichnung "Common Base Linux (CBL) Mariner". Nähere Details liefert ein Blogpost [41]. Azure Linux basiert auf dem RPM-Paketformat und verwendet Tiny DNF (tdnf) als Paketmanager.

Minimale Images tragen bei Microsoft die Bezeichnung "distroless". Wie sich solche Images mit dem Open-Source-Tool Marinara erstellen lassen, ist im Folgenden dargelegt.

Microsoft kontrolliert genau, welche Pakete und Versionen Azure Linux enthält. Die Liste ist recht umfassend (siehe die SPECS- und SPECS-EXTENDED-Ordner des Azure-Linux-Quellcodes [42]). Die Paketversionen sind nicht immer topaktuell, aber in der Regel auch nicht stark veraltet. Microsoft patcht Schwachstellen aktiv und erstellt Backports für CVEs, die sonst nur in neueren Upstream-Paketversionen verfügbar sind. Verschiedene Image-Schwachstellenscanner (wie Trivy oder Grype) unterstützen die Paketerkennung in Azure Linux offiziell und zuverlässig.

Bauen von Images mit Marinara

Marinara [44] besteht aus einer Sammlung von Python-Skripten, die tdnf-Befehle ausführen, um Pakete zu installieren und optional einen Nicht-Root Linux-User zu erstellen. Microsoft veröffentlicht ein vorgefertigtes Image (das Python 3 und die Marinara-Skripte enthält) unter mcr.microsoft.com/azurelinux/marinara:3.0.

Um ein neues Distroless Image zu erstellen, empfiehlt Microsoft einen Multi-Stage-Build-Ansatz, bei dem man eine finale FROM scratch-Stage hat, in die man die in der Build-Stage von Marinara generierten Dateien hineinkopiert. Es gibt ein Beispiel-Dockerfile [45], das diesen Multi-Stage-Build umsetzt.

Der folgende Befehl verwendet das Dockerfile, um ein angepasstes Azure Linux Distroless Image zu erstellen. Anzupassen sind darin lediglich die Passagen "your/desired/image:tag" in Zeile 2 und "distroless-packages-base nodejs" in Zeile 7:

docker build https://github.com/microsoft/marinara.git \
  -t your/desired/image:tag \
  -f dockerfiles/dockerfile-new-image \
  --build-arg AZL_VERSION=3.0 \
  --build-arg NAMESPACE=azurelinux \
  --build-arg IMAGE_TYPE="custom-nonroot" \
  --build-arg PACKAGES_TO_INSTALL="distroless-packages-base nodejs" \
  --build-arg USER="nonroot" --build-arg USER_UID=65532

Dieser Befehl nutzt das Docker- und BuildKit Feature, das ein Dockerfile direkt aus einem Git-Repository [46] baut, ohne dieses erst lokal klonen zu müssen. Wie aus der Marinara-Dokumentation [47] hervorgeht, hat das fertige Image folgende Eigenschaften:

• Optional einen Nicht-Root Linux-User, dessen Name und ID man als Build-Argumente angibt.
• Die einzigen Pakete, die Marinara in das Image installiert, sind diejenigen, die im Build-Argument PACKAGES_TO_INSTALL definiert sind, durch Leerzeichen getrennt. Neben der selbst gewählten Pakete (wie "nodejs") muss zudem entweder distroless-packages-minimal oder distroless-packages-base mit angegeben werden. Dies sind Meta-Pakete mit notwendigen Basis-Bibliotheken. In der Dokumentation [48] sowie dem Sourcecode [49] ist der Unterschied erklärt. Alternativ zu diesen beiden Paketen gibt es das debug-Paket, das jedoch eine Shell enthält und daher nur zu Debugging-Zwecken eingesetzt werden sollte, da ansonsten das resultierende Image nicht mehr minimal ist.

Um herauszufinden, welche Pakete in Azure Linux zur Verfügung stehen (und in welcher Version), kann man eine interaktive Shell über docker run --rm -it mcr.microsoft.com/azurelinux/base/core:3.0 bash starten und dann eine Suche mit tdnf list | grep Suchbegriff durchführen. Wer mehr über den genauen Inhalt eines Pakets erfahren möchte, sollte sich die Spec-Datei des Pakets im SPECS-Ordner auf GitHub [50] ansehen. Zudem ist zu berücksichtigen, dass Marinara das Pinning konkreter, älterer Paket-Versionen nicht unterstützt.

Da die Marinara-Builds nicht reproduzierbar sind, erfordert es etwas höheren Aufwand zu ermitteln, ob man ein zuvor gebautes Distroless Image erneut bauen muss. Hierzu extrahiert man die Datei /var/lib/rpmmanifest/container-manifest-1 aus dem neu erstellten Image und vergleicht deren Inhalt mit derselben Datei aus einem vorherigen Image-Build. Hier ein Auszug des Inhalts der Datei:

SymCrypt-OpenSSL.1.8.1-1.azl3.x86_64
SymCrypt.103.8.0-1.azl3.x86_64
attr.2.5.2-1.azl3.x86_64
azurelinux-release.3.0-29.azl3.noarch
bash.5.2.15-3.azl3.x86_64
...

Ein weiteres Beispiel des Autors auf GitHub [51] demonstriert den täglichen Build eines Azure-Linux Python-3.12-Basis-Images, inklusive einer darauf aufbauenden Beispielanwendung.

Fazit

Typische Szenarien, in denen Entwicklerinnen und Entwickler ein eigenes minimales Image erstellen möchten, sind:

• Es gibt kein fertig gebautes Image, das die benötigten Pakete enthält.
• Vorhandene Images enthalten zu viele Pakete, die Angreifern eine unnötig große Angriffsfläche bieten.

Auf den ersten Blick mag es mühsam erscheinen, eine eigene Image-Build-Infrastruktur hochzuziehen. Doch die im Artikel verlinkten Beispiel-GitHub-Repositorys des Autors demonstrieren, dass dies mit überschaubarem Aufwand möglich ist. Für die ersten Experimente lassen sich die kostenlosen Actions-Workflows von GitHub in einem öffentlichen Repository nutzen und ein Cron-Workflow ausführen, der die Images baut, pusht und signiert.

Von den drei vorgestellten Anbietern minimaler Images empfiehlt sich WolfiOS von Chainguard als die erste Wahl. Deren Dokumentation ist ausführlich, es lassen sich die aktuellsten Upstream-Paket-Versionen nutzen und bei Bedarf trotzdem ältere Versionen pinnen.

Zu berücksichtigen ist jedoch, dass Chainguard ein Start-up ist – und daher das WolfiOS-Projekt jederzeit eingestellt werden könnte. Es ist daher von Vorteil, Alternativen wie Ubuntu Chiseled oder Azure Linux Distroless auf dem Schirm zu haben. Von diesen beiden verfügt Azure über den wesentlich größeren Katalog. Ubuntu bietet ähnlich viele Pakete wie Azure, stellt aber wesentlich weniger Chisels bereit: den ca. 500 Ubuntu Chiseled-Paketen stehen über 3000 Pakete bei Azure gegenüber. Sind die benötigten Pakete allerdings hier wie dort vorhanden, können Entwicklerinnen und Entwickler entweder die Distro mit den neueren Paket-Versionen nutzen – oder ganz nach persönlicher Vorliebe auswählen.

URL dieses Artikels:
https://www.heise.de/-10964627

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-1-Die-groessten-Irrtuemer-ueber-Image-Scanner-10497655.html
[2] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-2-Minimale-und-sichere-Docker-Images-10631065.html
[3] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-3-Minimale-sichere-Container-Images-selbst-bauen-10964627.html
[4] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-2-Minimale-und-sichere-Docker-Images-10631065.html
[5] https://ubuntu.com/blog/combining-distroless-and-ubuntu-chiselled-containers
[6] https://hub.docker.com/_/scratch
[7] https://github.com/canonical/chisel-releases
[8] https://documentation.ubuntu.com/chisel/en/latest/how-to/use-chisel-in-dockerfile/
[9] https://github.com/canonical/chisel/issues/51
[10] https://github.com/aquasecurity/trivy/discussions/8644
[11] https://github.com/canonical/rocks-toolbox/blob/main/chisel-wrapper
[12] https://documentation.ubuntu.com/chisel/en/latest/how-to/use-chisel-in-dockerfile/
[13] https://github.com/MShekow/ubuntu-chiseled-python-demo
[14] https://hub.docker.com/_/python
[15] https://gist.github.com/MShekow/d7a3c0a8a9563af57965f5c36d7a6b1a
[16] https://github.com/canonical/rockcraft
[17] https://documentation.ubuntu.com/rockcraft/en/latest/explanation/pebble/
[18] https://github.com/canonical/node-rock
[19] https://hub.docker.com/r/ubuntu/node
[20] https://github.com/canonical/chiselled-python
[21] https://hub.docker.com/r/ubuntu/python
[22] https://github.com/canonical/rabbitmq-rock
[23] https://hub.docker.com/r/ubuntu/rabbitmq
[24] https://github.com/canonical/chiselled-python/blob/main/python3.12/rockcraft.yaml
[25] https://edu.chainguard.dev/open-source/build-tools/apko/overview/
[26] https://images.chainguard.dev/directory
[27] https://images.chainguard.dev/directory
[28] https://images.chainguard.dev/directory
[29] https://images.chainguard.dev/directory/image/python/sbom
[30] https://images.chainguard.dev/directory/image/adoptium-jre/sbom
[31] https://images.chainguard.dev/directory/image/consul/sbom
[32] https://edu.chainguard.dev/open-source/wolfi/apk-version-selection/
[33] https://github.com/chainguard-dev/apko/blob/main/docs/apko_file.md
[34] https://github.com/chainguard-dev/apko/
[35] https://images.chainguard.dev/directory/
[36] https://edu.chainguard.dev/chainguard/chainguard-images/getting-started/python/#example-2-multi-stage-build-for-python-chainguard-container
[37] https://images.chainguard.dev/directory/image/python/sbom
[38] https://github.com/chainguard-images/images/blob/main/images/python/main.tf
[39] https://github.com/MShekow/chainguard-python-demo
[40] https://en.wikipedia.org/wiki/Azure_Linux
[41] https://medium.com/@dvkumaraws2019/why-microsoft-built-its-own-linux-a-deep-dive-into-azure-linux-77c3f3ff17a0
[42] https://github.com/microsoft/azurelinux
[43] https://mcr.microsoft.com/
[44] https://github.com/microsoft/marinara
[45] https://github.com/microsoft/marinara/blob/main/dockerfiles/dockerfile-new-image
[46] https://docs.docker.com/build/concepts/context/#git-repositories
[47] https://github.com/microsoft/marinara/blob/main/instructions/quickstart.md
[48] https://mcr.microsoft.com/en-us/artifact/mar/azurelinux/distroless/base/about
[49] https://github.com/microsoft/azurelinux/blob/3.0/SPECS/distroless-packages/distroless-packages.spec
[50] https://github.com/microsoft/azurelinux
[51] https://github.com/MShekow/azure-linux-distroless-python-demo
[52] mailto:map@ix.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

Erkältungszeit: Diese Hausmittel stärken Ihr Immunsystem wirklich

Von Zwiebelsaft über Ingwer-Tee bis zum Inhalieren – natürliche Mittel können den Verlauf von Erkältungen abmildern und der Krankheit vorbeugen.

Wer kennt sie nicht, die ersten Anzeichen für eine Erkältung oder grippalen Infekt? Oft beginnt es mit leichtem Kratzen im Hals, mit Kopfschmerzen oder einer verstopften Nase. In diesem Stadium lässt sich der Krankheitsverlauf meist nicht mehr aufhalten. "Erkältung dauert unbehandelt sieben Tage, mit Medikamenten eine Woche", sagt der Volksmund.

Mit alten und natürlichen Hausmitteln kann man das Immunsystem stärken, Erkältungsviren vorbeugen oder den Krankheitsverlauf abmildern. Denn einige Kräuter, Knollen und Früchte enthalten gleich mehrere Vitamine und Mineralien, die multifunktional wirken.

Während etwa Vitamin C das Immunsystem stärkt [1], als Antioxidans wirkt und die Nierenfunktion anregt, senkt Kalium den Blutdruck [2] und schützt Herz und Kreislauf.

Scharfe Knollen: Knoblauch und Zwiebeln

Knoblauch und Zwiebeln würzen nicht nur Mahlzeiten, sie sind auch entzündungshemmend und verhindern, dass sich Bakterien- oder Pilzinfektionen ausbreiten. Dafür sorgt der schwefelhaltige Pflanzenstoff Allicin, der einem beim Zwiebelschneiden die Tränen in die Augen treibt und der für den typischen Knoblauchgeruch [3] verantwortlich ist.

Zwiebelsaft wirkt gegen Atemwegsinfekte, gegen Husten und Erkältung, gegen Insektenstiche sowie kleine Wunden und Verbrennungen. Wird die Zwiebel zerkleinert, werden schwefelhaltige Lauchöle freigesetzt, die das Wachstum von Bakterien, Viren und Pilzen hemmen. Zudem helfen sie, den Schleim bei Erkältungen zu lösen und Entzündungen zu lindern.

Will man einen Hustensaft herstellen [4], lässt man klein gehackte Zwiebelstücke in Honig ziehen und nimmt den hieraus entstehenden Saft mit dem Löffel wie Hustensirup ein. Wer unter Ohrenschmerzen [5] leidet, probiert es mit einem Zwiebelwickel. Eine klein gehackte Zwiebel wird zuerst gewässert und dann in Säckchen gegeben, welches an das entzündete Ohr gehalten wird.

Mit Knoblauchwasser Halsschmerzen weggurgeln

Bei ersten Anzeichen von Halsschmerzen [6] sollte man mehrmals am Tag mit Knoblauchwasser gurgeln. Dafür gebe man gekochtes Wasser in ein Glas.

Man schäle eine Knoblauchzehe, ritze sie mit einem scharfen Messer einige Male ein, gebe sie in ein Glas und gieße gekochtes Wasser darüber. Sobald sich das Wasser abgekühlt hat, nimmt man die Zehe aus dem Wasser, das nun fertig ist zum Gurgeln.

Heimliches Superfood: Kohl und Portulak

Ob Grünkohl [7], Rosenkohl [8] oder Brokkoli [9] – in fast allen Kohlsorten steckt viel Vitamin C [10] – oft sogar mehr als in Zitronen und Orangen. Weißkohl enthält zusätzlich heilsame Wirkstoffe. So bestätigt eine Studie [11], dass frisch gepresster Weißkohlsaft bei entzündeter Magenschleimhaut hilft. Sauerkraut [12], fermentierter Weißkohl, ist zusätzlich reich an probiotischen Bakterien, die die Darmflora gesund halten.

Portulak – die unscheinbare Salatpflanze – enthält nicht nur Vitamin C, A und E, welche die Zellen und das Immunsystem unterstützen. Seine Omega-3-Fettsäuren greifen direkt im Körper in den Entzündungsprozess ein, wodurch sie ihn hemmen. Magnesium [13], Zink [14], Flavonoide [15] und Schleimstoffe wirken positiv gegen Entzündungen, wie medizinische Studien [16] bestätigen. Die fleischigen Blätter als auch die zarten Stängel schmecken fein gehackt im Kräuterquark, Salat oder auf dem Brot.

Entzündungshemmendes Olivenöl

Olivenöl besteht aus zahlreichen ungesättigten und gesättigten Fettsäuren. Gegen Entzündungen und gleichzeitig antioxidativ wirken besonders die Ölsäure und deren chemische Verbindungen, wie eine Studie [17] belegt.

Die chemischen Verbindungen aus der Ölsäure könnten eine natürliche Alternative etwa zu Ibuprofen sein, sagt eine weitere Studie [18]. Außer Gemüse, Obst und Nüssen schützt Olivenöl vor chronischen Entzündungen und Herzinfarkt.

Preiselbeeren und Acerola

Preiselbeeren, die europäischen Verwandten der amerikanischen Cranberry [19], sind genauso gesund wie diese. Preiselbeersaft wird zudem gegen Blasenentzündungen eingesetzt. Die Acerolafrucht [20] soll sogar das meiste Vitamin C aller Pflanzen enthalten, außerdem sekundäre Pflanzenstoffe wie Flavonoide, die entzündungshemmend sind und als Antioxidantien und gleichzeitig gegen Kopfschmerzen, Halsentzündung, Husten wirken.

Eine Studie [21], die kaltgepresste Säfte aus verschiedenen Früchten mit hohem Vitamin-C-Gehalt untersuchte, fand heraus, dass ein Glas fruchtiger Acerolasaft bei Grippe [22] hilft. Wer regelmäßig ein Glas Acerolasaft trinkt oder die getrockneten Früchte vernascht, beugt gegen Erkältungen vor.

Die aus Mexiko stammende Steinfrucht ist in der Apotheke erhältlich: in Form von Pulver, Kapseln oder Saft.

Vitamin-C-Booster Sanddorn

Der Vitamin-C-Gehalt in Sanddorn [23] soll zehnmal höher sein als in Zitronen oder Orangen. Laut einer Studie [24] helfen hauptsächlich seine Flavonoide gegen Entzündungen im Nervensystem, etwa bei Migräne, Alzheimer und Parkinson. Sanddornöl [25] enthält zudem ungesättigte Fettsäuren [26].

Ein Esslöffel Sanddornsaft pro Tag deckt den täglichen Vitamin-C-Bedarf für Erwachsene. Der herb-säuerliche Geschmack von Sanddornsaft passt gut zu Müsli, zu Waffeln oder Pfannkuchen.

Zitronen – erfrischend und gesund

Zitronen enthalten Kalzium, Kalium und Magnesium und sind reich an Vitamin C, Kalium und Vitamin B6 [27]. Etwas frischer Zitronensaft jeden Tag stärkt das Immunsystem.

Allerdings ist Vitamin C sehr hitzeempfindlich. Weil der Vitamin-C-Anteil rapide sinkt, sobald man kochendes Wasser zu frisch gepresstem Zitronensaft gibt, sollte das Wasser nicht mehr als 40 bis 60 Grad warm sein, wenn man frisch gepressten Zitronensaft hinzufügt [28]. Mit einem Spritzer Zitronensaft kann man Salate, herzhafte Speisen und Weihnachtsplätzchen verfeinern. Zitronen neutralisieren zudem Gerüche oder lösen Kalk.

Ingwer – ein wahres Turbomittel gegen Erkältungen

Die Ingwerwurzel enthält außer Vitamin C, Magnesium, Eisen, Kalzium, Kalium, Natrium und Phosphor auch Gingerol [29]. Wie Studien ergaben, wirken Gingerole nicht nur antioxidativ und entzündungshemmend, sie hemmen auch Viren und andere Krankheitserreger [30].

Das Gewürz- und Heilmittel enthält neben Harz und Harzsäuren viele gesunde ätherische Öle, fördert die Verdauung [31] und steigert Magensaft-, Speichel- und Gallenbildung und wirkt schmerzlindernd. Wie eine Meta-Analyse [32] von 2020 zeigt, schützt der Verzehr von rohem Ingwer oder das Trinken von Ingwertee vor etlichen Krankheiten, die mit Erbrechen einhergehen, etwa bei Reiseübelkeit [33].

Ingwer-Tee mit Zitrone und Honig

Wer sich einen Ingwertee [34] zubereiten will, schneidet ein daumendickes Stück ab, schält es und schneidet es in kleine Stücke. Am besten ganz dünn abschälen, denn direkt unter der Schale sitzen wirksame Stoffe. Je kleiner die Stücke, umso intensiver der Teegeschmack. Die Stücke werden in eine große Tasse gegeben und mit kochendem Wasser aufgegossen.

Besonders gesund ist ein Sirup aus Zitronen, Ingwer und Honig [35]. Um zu vermeiden, dass bei der Zubereitung Vitamine unter zu großer Hitze verloren gehen, wird Zitronensaft und Honig erst nach dem Erhitzen hinzugefügt. Man kocht die Zitronenschalen und den Ingwer im Wasser auf und lässt den Sud bis zu 20 Minuten köcheln, bevor er durch ein Sieb abgegossen wird, abkühlt und mit Zitronensaft und Honig verrührt wird.

Kurkuma-Wasser mit Zitrone und Honig

Kurkuma kann helfen, wenn sich eine Erkältung [36] oder ein Magen-Darm-Infekt [37] anbahnt. Glaubt man einer Studie [38] der Universität Saarbrücken, ähnelt das entzündungshemmende Curcumin in seiner Wirkungsweise dem medizinischen Cortison. Zudem fördern geringe Mengen Kurkuma die Verdauung.

Für ein gesundes Kurkuma-Wasser füllt man lauwarmes Wasser in eine Karaffe und verrührt darin einen Teelöffel Kurkuma [39]. Curcumin ist fettlöslich, deshalb kann man einige Tropfen Speiseöl hinzufügen. Etwas Zitronensaft rundet das Aroma ab und verleiht dem Kurkuma-Getränk zusätzlich Vitamin C. Ein Teelöffel Honig gibt dem Ganzen eine süße Note.

Salbei und Thymian – bewährte Mittel gegen Husten

Mit Kräutertees überstehen wir die ungemütliche kalte Jahreszeit am besten. Am besten schmecken frisch gepflückte Kräuter aus dem Garten oder vom Balkon oder aus freier Natur. Auch mediterrane Kräuter lassen sich zu Tees verarbeiten – zum Beispiel Thymian: Thymian-Hustensaft [40] erweitert die Bronchien, wirkt hustenlösend und antibakteriell.

Thymianöl hilft als Mundspülung gegen Halsschmerzen. Auch Salbei wirkt schweißhemmend, antiseptisch, krampflösend und hilft gegen Viren. Er schmeckt als Tee [41], doch man kann ihn auch im Wasser gurgeln.

Spitzwegerich hilft auch gegen Bronchitis und Asthma

Spitzwegerich [42] hilft gegen Husten [43] und Heiserkeit, Bronchitis und sogar Asthma. Aufgrund seiner Gerb- und Schleimstoffe, Glykoside, Flavonoide [44], Kieselsäuren und Mineralien wirkt die Pflanze antibakteriell und reizlindernd und stimuliert das Immunsystem.

Die in ihm enthaltenen Schleimstoffe legen sich schützend über die gereizte Rachenschleimhaut. Spitzwegerich ist daher in vielen Hustentees enthalten. Die Blätter des Spitzwegerichs kann man zu Tee aufbrühen [45] oder zu einem Sirup einkochen.

Bei starker Erkältung: Nase frei durch Inhalieren

Man gebe zwei bis drei Tropfen in heißes Wasser, lege sich ein Handtuch über den Kopf und inhaliere vorsichtig über der dampfenden Schüssel. Innerhalb weniger Minuten reinigen die heilenden Dämpfe die Schleimhäute. Gleichzeitig duftet die ganze Wohnung nach dem verdampfenden Öl.

Bei starkem Reizhusten empfiehlt sich eine Inhalation mit einem Salbei-Aufguss [46], die man alle drei Stunden wiederholen sollte. Denn Salbei enthält antimikrobielle ätherischen Öle, die die Schleimhäute beruhigen. Dafür gebe man eine Handvoll Salbeiblätter (frisch oder getrocknet) in eine Schüssel.

Wer weder Kräuter, Öle noch Gewürze im Haus hat, inhaliert mit Kochsalz und Wasser [47]. Dafür wird eine Prise Salz in einer Schüssel mit heißem Wasser aufgelöst. Egal, womit inhaliert wird – in jedem Fall sollten Taschentücher griffbereit daneben liegen.

URL dieses Artikels:
https://www.heise.de/-10963002

Links in diesem Artikel:
[1] https://pubmed.ncbi.nlm.nih.gov/16373990/
[2] https://pubmed.ncbi.nlm.nih.gov/21371638/
[3] https://utopia.de/ratgeber/knoblauchgeruch-loswerden-die-besten-hausmittel-fuer-mund-und-haende/
[4] https://utopia.de/ratgeber/hustensaft-selber-machen-zwiebeln-honig/
[5] https://utopia.de/ratgeber/zwiebelsaeckchen-ein-hausmittel-gegen-ohrenschmerzen/
[6] https://utopia.de/ratgeber/hausmittel-gegen-halsschmerzen-das-hilft-gegen-den-schmerz/
[7] https://utopia.de/ratgeber/gruenkohlzubereiten-so-schmeckt-er-garantiert/
[8] https://utopia.de/ratgeber/rosenkohl-rezepte-einfach-und-garantiert-lecker/
[9] https://utopia.de/ratgeber/brokkoli-ist-gesund-dank-dieser-naehrwerte/
[10] https://utopia.de/ratgeber/vitamin-c-ascorbinsaeure/
[11] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC1643665/
[12] https://utopia.de/ratgeber/sauerkraut-so-gesund-ist-die-vitamin-bombe/
[13] https://utopia.de/ratgeber/magnesium-magnesiummangel/
[14] https://utopia.de/ratgeber/zink/
[15] https://utopia.de/ratgeber/flavonoide-eigenschaften-wirkung-und-wo-die-pflanzenstoffe-stecken/
[16] https://www.ncbi.nlm.nih.gov/pubmed/27396870
[17] https://pubmed.ncbi.nlm.nih.gov/23165533/
[18] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4139846/
[19] https://utopia.de/ratgeber/cranberry-moosbere/
[20] https://utopia.de/ratgeber/acerola-saft-pulver_38443/
[21] https://www.ncbi.nlm.nih.gov/pubmed/30044505
[22] https://utopia.de/ratgeber/grippe-alles-was-du-zur-influenza-wissen-musst_724309/
[23] https://utopia.de/ratgeber/sanddorn-pflanzen-das-musst-du-fuer-eine-reiche-ernte-beachten
[24] https://www.ncbi.nlm.nih.gov/pubmed/30483725
[25] https://utopia.de/ratgeber/sanddornoel-wirkung-und-anwendung-fuer-schoene-haut-und-haare/
[26] https://utopia.de/ratgeber/gesaettigte-oder-ungesaettigte-fettsaeuren-was-ist-gesuender/
[27] https://utopia.de/ratgeber/vitamin-b6/
[28] https://utopia.de/ratgeber/zitronen-so-gesund-sind-sie_199254/
[29] https://pubmed.ncbi.nlm.nih.gov/36564924/
[30] https://utopia.de/ratgeber/gingerol-wirkung-und-wie-du-es-nutzen-kannst_212187/
[31] https://academicjournals.org/journal/JPP/article-full-text-pdf/56E54E164970
[32] https://pmc.ncbi.nlm.nih.gov/articles/PMC7019938/
[33] https://www.nature.com/articles/nrgastro.2013.54
[34] https://rezepte.utopia.de/ingwertee-selber-machen-so-gelingt-die-zubereitung-17485
[35] https://utopia.de/ratgeber/ingwer-zitronen-sirup-so-einfach-kannst-du-ihn-selbst-machen_134236/
[36] https://utopia.de/ratgeber/erkaeltung-vorbeugen-so-bleibst-du-gesund/
[37] https://utopia.de/ratgeber/magen-darm-hausmittel-gegen-die-beschwerden/
[38] https://www.deutsche-apotheker-zeitung.de/news/artikel/2016/11/22/curcumin-besser-als-cortison
[39] https://utopia.de/ratgeber/kurkuma-curcumin/
[40] https://utopia.de/ratgeber/thymian-hustensaft-wirkung-anwendung-und-rezept_174852/
[41] https://utopia.de/ratgeber/salbeitee-die-wirkung-des-natuerlichen-erkaeltungsmittels_68779/
[42] https://utopia.de/ratgeber/spitzwegerich-verwendung-wirkung-und-anbau-der-heilpflanze_147050/
[43] https://utopia.de/ratgeber/beste-hausmittel-gegen-husten/
[44] https://utopia.de/ratgeber/flavonoide-eigenschaften-wirkung-und-wo-die-pflanzenstoffe-stecken/
[45] https://utopia.de/ratgeber/spitzwegerich-tee-so-bereitest-du-das-hausmittel-gegen-husten-zu_144391/
[46] https://utopia.de/ratgeber/hausmittel-gegen-reizhusten-diese-tipps-wirken-schnell-und-sicher_88627/
[47] https://utopia.de/ratgeber/pflanzliche-hausmittel-erkaeltung_33230/

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

Nexperia-Lieferung startet wieder: Rettung für Europas Autobauer

Handelsabkommen zwischen Trump und Xi soll Nexperia-Chip-Exporte freigeben. Europas Autoindustrie atmet auf – drohende Stillstände könnten abgewendet werden.

Die europäischen Autobauer leiden unter dem Chipmangel, der durch den Streit um Nexperia verursacht wurde. Ein Handelsabkommen zwischen den USA und China könnte dieses Problem allerdings schon bald lösen.

Nach Angaben von mit der Situation vertrauten Personen soll Nexperia die Lieferung von Halbleitern aus China wieder aufnehmen dürfen. Entsprechende Details sollen auf dem Gipfeltreffen zwischen US-Präsident Donald Trump und dem chinesischen Präsidenten Xi Jinping besprochen worden sein. Das berichtet [1] Bloomberg.

Dieser Schritt kommt für die Branche zur rechten Zeit: Deutsche und europäische Automobilhersteller [2] und Zulieferer hatten vor drohenden Produktionsstopps innerhalb weniger Tage gewarnt. Die Entspannung dürfte Sorgen lindern, die seit Wochen die gesamte Wertschöpfungskette belasten.

Handelsabkommen bringt Entspannung bei Nexperia-Krise

Das Abkommen zwischen Washington und Peking umfasst laut Bericht mehrere Elemente: China verschiebt umfassende Kontrollen für Seltenerdmagnete und nimmt Agrarkäufe aus den USA wieder auf.

Im Gegenzug halbieren die USA ihre Zölle auf Fentanyl-Vorprodukte aus China, setzen die angedrohte 100-Prozent-Abgabe auf chinesische Waren aus und verlängern die Aussetzung einiger Gegenzölle.

Das chinesische Handelsministerium erklärte laut Bloomberg, Exporte unter bestimmten Bedingungen zuzulassen. Allerdings nannte Peking weder die ausgenommenen Produkte noch die genauen Voraussetzungen. Auch der zeitliche Rahmen für die Wiederaufnahme der Nexperia-Lieferungen bleibt vorerst unklar.

Wie es zur Nexperia-Knappheit kam

Die Chipknappheit hatte ihren Ursprung in einem Konflikt zwischen den Niederlanden und China. Peking hinderte Nexperia diesen Monat daran, aus seinen Werken im Land zu exportieren – als Reaktion darauf, dass die niederländische Regierung die Kontrolle über den im Besitz der chinesischen Wingtech Technology Co. stehenden Chiphersteller übernommen hatte.

Der niederländische Wirtschaftsminister Vincent Karremans hatte sich auf ein Gesetz aus der Zeit des Kalten Krieges berufen. Grund waren [3] laut Bloomberg Pläne des früheren Nexperia-Chefs Zhang Xuezheng, Maschinen aus Standorten in Deutschland und Großbritannien abzuziehen.

Zhang beabsichtigte zudem, so der Bericht, Patente aus den Niederlanden nach China zu übertragen und 40 Prozent der europäischen Belegschaft zu entlassen. Außerdem soll er fragwürdige Aufträge im Wert von bis zu 130 Millionen US-Dollar mit einem von ihm kontrollierten Unternehmen unterzeichnet haben.

"Das Verhalten des CEO stellte eine akute Bedrohung für die Kontinuität der Produktionskapazitäten, des Know-hows und des geistigen Eigentums von Nexperia dar", erklärte das niederländische Wirtschaftsministerium laut Bloomberg.

Ohne das Eingreifen der Regierung "wäre die europäische Niederlassung des Unternehmens kurzfristig praktisch verschwunden".

Systemrelevanz von Nexperia für die Automobilindustrie

Die Bedeutung von Nexperia für die Automobilbranche lässt sich kaum überschätzen. Das Unternehmen liefert einfache, aber unverzichtbare Transistoren und Logikchips für Fahrzeugsteuergeräte. Diese Komponenten sind zwar nicht besonders fortschrittlich, aber für die Automobil- und Unterhaltungselektronikindustrie von entscheidender Bedeutung.

Nexperia betreibt Wafer-Fabriken in Deutschland und Großbritannien sowie Montage- und Teststandorte unter anderem in China. Rund die Hälfte des Gesamtvolumens stammt aus dem Werk in Guangdong, wie eine mit der Angelegenheit vertraute Person Bloomberg mitteilte.

Trotz des Exportverbots aus China hätte die Waferfabrik in Hamburg weiterhin den Standort in Guangdong beliefert, da das Unternehmen keine weitere Eskalation der Spannungen riskieren wollte. Laut Bericht verschärften sich allerdings die Meinungsverschiedenheiten, sodass die Hamburger Fabrik ihre Lieferungen nach China einstellte.

Nexperia hatte kürzlich Briefe an seine Kunden verschickt, in denen es sie über das Risiko einer reduzierten Lieferung informierte und darauf hinwies, dass es keine klare Kontrolle über die Qualität der in China hergestellten Produkte habe, sagte die Person.

Akute Folgen in Europa: Von Kurzarbeit bis Produktionsstopp

Die Auswirkungen des Exportstopps trafen die europäische Automobilindustrie mit voller Wucht. Der Europäische Automobilherstellerverband ACEA warnte [4], dass Fertigungsstraßen innerhalb weniger Tage stillstehen könnten. Die Unternehmen seien auf schwindende Reserven angewiesen, um ihre Werke am Laufen zu halten.

"Alle Parteien dieses Streits arbeiten sehr hart daran, eine diplomatische Lösung zu finden", sagte ACEA-Generaldirektorin Sigrid de Vries. "Gleichzeitig berichten uns unsere Mitglieder, dass die Lieferung von Teilen aufgrund der Verknappung bereits eingestellt wurde."

Der Zulieferer ZF Friedrichshafen AG reduzierte die Schichten in seinem Hauptwerk für elektrische Antriebe in Schweinfurt, weil die Verfügbarkeit wichtiger Komponenten eingeschränkt war, berichtet [5] Bloomberg.

Das Werk beschäftigt rund 8.000 Mitarbeiter und ist eines der weltweit wichtigsten Werke des Unternehmens. ZF beliefert die meisten großen Automobilhersteller, darunter Volkswagen, BMW, Mercedes-Benz, Stellantis und Ford.

Auch die Robert Bosch GmbH bereitete sich darauf vor, die Arbeitszeiten an ihrem Standort in Salzgitter zu reduzieren. Das Werk stellt elektronische Steuergeräte her und benötigt einen kontinuierlichen Fluss von Teilen, um betriebsfähig zu bleiben.

Volkswagen: Finanzziele hängen an Nexperia-Chips

Für Volkswagen steht viel auf dem Spiel. Der Konzern warnte [6] laut Bloomberg, dass er eine ausreichende Versorgung mit Halbleitern benötige, um seine Finanzziele für dieses Jahr zu erreichen.

VW gab an, sich für die kommende Woche genügend Komponenten gesichert zu haben, um seine deutschen Werke am Laufen zu halten, konnte jedoch Produktionsausfälle darüber hinaus nicht ausschließen.

"Die Lösung sollte auf politischer Ebene gefunden werden, da es sich nicht um einen technischen Mangel oder einen Kapazitätsmangel handelt", sagte demnach VW-Finanzvorstand Arno Antlitz. "Es handelt sich wirklich um eine Folge politischer Diskussionen, und wir hoffen, dass sich alle relevanten Parteien zusammensetzen und Lösungen finden."

Die deutsche Mercedes-Benz Group AG verfügt nach eigenen Angaben über genügend Nexperia-Chips für die nächste Zeit, da sie auf Pufferbestände der betroffenen Komponenten zurückgreifen kann.

Globale Auswirkungen: Von Mexiko bis zu den USA

Die Nexperia-Krise beschränkte sich nicht auf Europa. Der japanische Autobauer Honda stellte die Produktion in einem Werk in Mexiko ein, da sich die Auswirkungen auf die gesamte Branche ausbreiteten. Der US-Zuliefererverband warnte vor Stillständen in zwei bis vier Wochen. Ford sprach von einem branchenweiten, politisch zu lösenden Problem.

Nicht alle Unternehmen waren gleichermaßen betroffen. Der französische Zulieferer Valeo SE gab bekannt, Ersatz für die meisten Nexperia-Chips gefunden zu haben, was auf Fortschritte bei den Bemühungen zur Vermeidung von Produktionsausfällen hindeutet.

URL dieses Artikels:
https://www.heise.de/-10965981

Links in diesem Artikel:
[1] https://www.bloomberg.com/news/articles/2025-10-31/us-to-announce-nexperia-chip-shipments-from-china-to-resume
[2] https://www.bloomberg.com/news/articles/2025-10-31/vw-and-bmw-supplier-slows-output-on-nexperia-chip-shortage
[3] https://www.bloomberg.com/news/articles/2025-10-29/nexperia-s-plan-to-move-machines-to-china-sparked-dutch-seizure
[4] https://www.bloomberg.com/news/articles/2025-10-29/europe-carmakers-step-up-warnings-over-nexperia-chip-crunch
[5] https://www.bloomberg.com/news/articles/2025-10-31/vw-and-bmw-supplier-slows-output-on-nexperia-chip-shortage
[6] https://www.bloomberg.com/news/articles/2025-10-30/vw-says-outlook-pivots-on-chip-supply-as-nexperia-fallout-looms

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

Vogelgrippe: Weihnachtsgans bleibt sicher, Freilandhaltung nicht

Die Vogelgrippe breitet sich in Deutschland rasant aus. Bereits 400.000 Nutztiere mussten gekeult werden. Worauf Verbraucher achten sollten.

Die Vogelgrippe [1], auch unter dem Namen Geflügelpest bekannt, wird aktuell von der hochansteckenden Virusvariante HPAIV, die derzeit als H5N1 grassiert, ausgelöst. Das ist ein hochpathogenes Influenza-A-Virus, das hauptsächlich Wildvögel und Geflügel in Geflügelfarmen infiziert. Es gehört zu den gefährlichsten Stämmen der Vogelgrippe und ist seit 2004 weltweit aktiv.

Virus wütet unter den Kranichen

Die aktuelle Situation ist durch eine aggressive Variante geprägt, die unter dem Namen Klade 2.3.4.4b auftritt, 2020 zuerst in Asien gefunden wurde und seitdem zu massenhaftem Vogelsterben auf allen Kontinenten geführt hat. In Deutschland wütet der Virus derzeit unter den Kranichen [2].

Man schätzt, dass bislang über 2.000 Kraniche auf ihrem jährlichen Herbstzug in ihren deutschen Rastgebieten an dem Virus gestorben sind. Diese Situation mit so vielen Todesfällen bei Kranichen ist bisher nicht in diesem Ausmaß bekannt. Allein am Stausee Kelbra [3] sind mindestens 500 Tiere gestorben.

Zu den besonderen Risiken des Vogelgrippevirus zählt die Tatsache, dass das Virus bei niedrigen Temperaturen wochenlang außerhalb des Wirts aktiv bleiben und durch Zugvögel weiterverbreitet werden kann.

Immer häufiger wird inzwischen über Infektionen bei Säugetieren berichtet, vorwiegend wildlebende Fleisch- und Aasfresser wie Füchse, Otter, Robben, Bären und Katzen, die sich vermutlich über die Aufnahme infizierter Wasservögel angesteckt haben.

Auch Nutztierbestände sind gefährdet

Schon mehr als 400.000 [4] Hühner, Gänse, Enten und Puten wurden bereits gekeult und dennoch schreitet die Ausbreitung der Vogelgrippe voran. Den finanziellen Schaden können Halter bei der zuständigen Tierseuchenkasse geltend machen.

Geflügelhalter fordern nun Konsequenzen wie eine bundesweite Stallpflicht, ein sogenanntes Aufstallungsgebot, weil sie wachsende Sorgen vor wirtschaftlichen Schäden umtreibt.

Wenn Geflügel aus Freilandhaltung allerdings in geschlossenen Ställen gehalten werden müssen, sinkt ihr Verkaufswert beträchtlich, weil Stallhaltung schlechter bewertet wird als Freilandhaltung.

Das Problem der Impfungen

Impfungen gegen die Vogelgrippe [5] waren bislang innerhalb der EU nicht zugelassen. Es gibt inzwischen allerdings Impfstoffe für Geflügel [6], die insbesondere in Frankreich mit einer Sondergenehmigung bei Enten und Gänsen schon zum Einsatz kommen.

Das Problem der Impfungen besteht nicht zuletzt darin, dass geimpftes Geflügel vielmals nicht mehr exportiert werden kann und die Impfung von Geflügel mit umfangreichen Überwachungsmaßnahmen verbunden wäre. Sie eignet sich daher nur für Enten und Gänse in Freilandhaltung, aber keinesfalls für die Masthähnchenproduktion.

Während nicht auszuschließen ist, dass Geflügelprodukte der höchsten Qualitätsstufen in nächster Zeit knapp werden könnten, scheint für die geliebte Weihnachtsgans wohl kaum Gefahr zu bestehen, weil die Gänse zumeist tiefgefroren aus Ungarn und Polen importiert werden, wo die Geflügelpest in diesem Jahr noch nicht zugeschlagen hat.

Aus Deutschland kommen nur noch etwa 15 bis 20 Prozent der hierzulande verkauften Ware.

Kann das Virus auch über tierische Lebensmittel übertragen werden?

Grundsätzlich soll es nicht auszuschließen sein, dass ein Mensch sich nicht nur über den Kontakt mit lebenden oder toten infizierten Tieren, sondern auch durch deren Verzehr infizieren kann.

Nach Angaben des Bundesinstituts für Risikobewertung [7] ist es nicht grundsätzlich auszuschließen, dass Fleisch und Eier Vogelgrippe-Viren enthalten. Doch bislang sollen keine Erkenntnisse vorliegen, die belegen würden, dass sich Menschen über Lebensmittel mit dem Vogelgrippe-Virus infiziert haben [8].

Das Institut empfiehlt, Fleisch gut durchzubraten, da das Virus empfindlich gegenüber hohen Temperaturen ist. Auch im Kern sollte eine Temperatur von mindestens 70 Grad erreicht werden. Bei gekochten Eiern sollte darauf geachtet werden, dass sowohl Eiweiß als auch Eigelb fest sind.

Allerdings sei es erwiesen [9], "dass Eier infizierter Tiere das Virus sowohl auf der Schale als auch in Eiweiß und Eidotter enthalten können. Wer sich vor Vogelgrippe-Viren und anderen Krankheitserregern, die möglicherweise in Eiern und Eiprodukten enthalten sind, schützen will, sollte vorsorglich auf den Verzehr roher Eiprodukte (Eischnee, Tiramisu etc.) verzichten".

Bei pasteurisierter Milch werden etwaige Viren bereits durch den Herstellungsprozess vernichtet. Wie die Situation bei Rohmilchkäse aussieht, der vorwiegend in Frankreich bei handwerklich arbeitenden Käsereien beliebt ist, scheint derzeit noch nicht abschließend untersucht zu sein. Da sich die industrielle Käseproduktion in Deutschland mehrheitlich auf pasteurisierte Milch stützt, bei welcher alle Mikroorganismen durch Erhitzen effizient inaktiviert sind.

Das betrifft allerdings auch die natürlichen Bestandteile, die beim Rohmilchkäse für die handwerkliche Käseproduktion genutzt werden, was viel Know-how beim Käser voraussetzt, das beim industriellen Prozess nicht mehr benötigt wird, wo die standardisierten Verfahren eine konstante Produktion ermöglichen, die immer zum gleichen Ergebnis führen.

Eine Infektion mit dem Vogelgrippe-Virus über den Verzehr von Muscheln oder Fischen ist unwahrscheinlich und wurde bislang auch nicht nachgewiesen. Eine zusätzliche Sicherheit vor Infektionen bietet das Erhitzen von Muscheln und Fischen und der Verzicht auf Süßwasserfische und -muscheln.

Für Menschen wird im Zusammenhang mit der Geflügelpestwelle, die jährliche Grippeimpfung empfohlen, weil die Folgen einer Doppelinfektion mit beiden Viren bislang noch völlig unbekannt sind.

URL dieses Artikels:
https://www.heise.de/-10965588

Links in diesem Artikel:
[1] https://www.openagrar.de/servlets/MCRFileNodeServlet/openagrar_derivate_00068710/FLI-Information-FAQ-Gefluegelpest-2025-10-24.pdf
[2] https://www.mdr.de/wissen/umwelt-klima/vogelgrippe-deutschland-wildvoegel-zuchtvoegel-kraniche-faq-fragen-antworten-100.html
[3] https://www.stausee-kelbra.de/de/
[4] https://www.agrarheute.com/tier/gefluegelpest-agrarbetrieben-aktuellen-faelle-2025-deutschland-529519
[5] https://www.mdr.de/wissen/medizin-gesundheit/vogelgrippe-h-fuenf-n-eins-wie-gut-koennen-impfungen-schuetzen-100.html
[6] https://www.gefluegelnews.de/article/vogelgrippe-fur-ganse-impfung-eine-option
[7] https://www.bfr.bund.de/
[8] https://www.bfr.bund.de/fragen-und-antworten/thema/ausgewaehlte-fragen-und-antworten-zur-hygiene-bei-lebensmitteln-und-bedarfsgegenstaenden-in-zeiten-der-vogelgrippe-wie-kann-ich-mich-und-meine-familie-schuetzen/
[9] https://www.bfr.bund.de/fragen-und-antworten/thema/ausgewaehlte-fragen-und-antworten-zur-hygiene-bei-lebensmitteln-und-bedarfsgegenstaenden-in-zeiten-der-vogelgrippe-wie-kann-ich-mich-und-meine-familie-schuetzen/

Copyright © 2025 Heise Medien

Adblock test (Why?)

Golem.de Full über fivefilters.org

Stornierung: Sam Altman bekommt Anzahlung für Tesla-Roadster nicht zurück

Sieben Jahre Versprechungen, null Roadster

Die Geschichte beginnt 2017: Tesla präsentierte die neue Roadster-Generation und öffnete die Reservierungsbücher. Elon Musk versprach damals, die Produktion 2020 zu starten. Das war ein optimistisches Versprechen. Eines von vielen Musk-Versprechen, die sich später als unrealistisch erwiesen .

Jahr für Jahr verschob sich der Produktionsstart auf nächstes Jahr. Kunden, die seit 2017 oder 2018 warten, wurden hart auf die Geduldsprobe gestellt. Auch andere Prominente wie der Youtuber Marques Brownlee versuchten bereits , ihre Reservierungen zu stornieren, und scheiterten an ähnlichen Hürden.

Altmans Fall ist symptomatisch: Wer sein E-Mail-Konto nicht mehr nutzt oder den Zugriff darauf nicht mehr hat, kann die Reservierung nicht stornieren und bekommt sein Geld nicht zurück.

Könnte es bald losgehen?

Musk deutete in einem Podcast an, dass der Roadster möglicherweise noch dieses Jahr als Prototyp gezeigt werden könnte. Doch solche Aussagen wurden auch schon vor Jahren gemacht.

Adblock test (Why?)

Golem.de Full über fivefilters.org

Leonidas: Mikrowellenwaffe gegen Drohnenschwärme getestet

So funktioniert die Technologie

Ein Demonstrationsvideo von Epirus zeigt das Leonidas-System im Einsatz gegen unterschiedlich große unbemannte Fluggeräte. Es zerstört alle Drohnen in der Testsequenz innerhalb einer einzigen Sekunde.

Die zehn Tonnen schwere Kettenfahrzeug-Plattform bietet Mobilität im unwegsamen Gelände – ein wichtiger Faktor für den Einsatz in Kampfumgebungen. Die Plattform selbst ist autonom, kann also ohne direkte menschliche Kontrolle operieren, während Bediener bei Bedarf die Kommandogewalt übernehmen können. Das System ist mit einem 360-Grad-Radar für Bedrohungserkennung und Zielverfolgung ausgerüstet.

Im Gegensatz zu kinetischen Gegenmaßnahmen erzeugt das System selbst keine Splitter. Das gilt natürlich nicht für die davon zum Absturz gebrachten Drohnen. Sollten diese auch noch Sprengladungen mit Aufschlagszündern tragen, können am Boden dennoch Schäden entstehen. Wie viele Impulse mit dem System ohne Nachladen des Akkus möglich sind, ist nicht bekannt.

Noch ist nicht bekannt, ob das System von den US-Streitkräften in größeren Stückzahlen beschafft werden soll.

Adblock test (Why?)

Golem.de Full über fivefilters.org

Minimalgröße: Windows 7 auf Diät

Laut Xenopanther kann die stark reduzierte Version bis zum Windows-7-Desktop booten, allerdings mit extrem eingeschränkter Funktionalität. Die meisten Anwendungen laufen nicht, da kritische Komponenten fehlen – darunter gängige Dialogfelder und Steuerelemente, auf die Standardprogramme angewiesen sind.

Einsatzgebiete reduzierter Betriebssysteme

Das abgespeckte System kommt mit jeder Software ins Straucheln, die eine grafische Benutzeroberfläche benötigt. Einfache Kommandozeilen-Anwendungen, die nur Zugriff auf den Windows-Kernel brauchen, funktionieren laut Xenopanther. Bemerkenswert: Die Windows-Aktivierungsprüfung bleibt trotz massiver Dateiverkleinerung funktionsfähig.

Solche Modifikationen, die Debloating genannt werden, folgen einer langen Tradition. Enthusiasten messen sich darin schon seit langem, Windows-Installationen so zu verkleinern, dass sie gerade noch lauffähig sind.

Die Vorgehensweise ist keineswegs rein akademisch. Legitime Anwendungsfälle für reduzierte Windows-Installationen existieren, insbesondere in virtuellen Maschinenumgebungen und Container-Deployments, wo Speicherplatz und Arbeitsspeicher zählen.

Microsoft selbst erkundete dieses Terrain mit Nano Server , einer abgespeckten Windows-Server-Variante, die rund 400 Megabyte Speicherplatz beanspruchte. Später verlagerte das Unternehmen den Fokus auf Nano Server als Basis-Container-Image und reduzierte die Größe auf unter 300 Megabyte.

Daneben gibt es Projekte wie NTDEV und die Tiny11-Serie , die verschlankte Windows-11-Installationen anbieten.

Adblock test (Why?)

heise developer neueste Meldungen ff.org

Developer Snapshots: Kleinere News der Woche

Die Übersicht enthält kleine, aber interessante Meldungen zu Qt Creator, Amber, GitHub, Rust, Theia AI, Google, Apache Arrow, Rspack und OpenAPI.

Zum Wochenende gibt es einen kleinen Überblick über alles, was es zwar nicht in die News geschafft hat, wir aber dennoch für spannend halten:

• Die vor allem auf C++ ausgerichtete IDE Qt Creator 18 [1] kann für Projekte konfigurierte Entwicklungsumgebungen in Docker-Container packen.
• Mit dem JavaScript-Framework Ember in Version 6.8 [2] lassen sich Projekte über Trusted Publishing auf npm veröffentlichen. Damit ist es möglich, die npm-Pakete automatisiert im CI/CD-Workflow (Continuous Integration/Continuous Deliver) mittels OpenID-Connect-Authentifizierung bereitzustellen.
• Aufgrund der schnellen Entwicklung bei LLMs hat GitHub zahlreiche ältere Modelle für den Copilot als veraltet (deprecated) gekennzeichnet [3], darunter GPT o4 mini, Claude Opus 4 und Claude Sonnet 3.7. Die Ankündigung zeigt Vorschläge für aktuelle Alternativen.
• Mit Rust 1.91 wird Windows auf ARM-Systemen [4] zu Tier-1-Plattform. So stehen Binaries dafür zur Verfügung, und das Rust-Team führt bei Änderungen in der Sprache alle Tests auch auf der ARM-Plattform durch.

• Die Eclipse Foundation hat mit Theia AI den CODiE Award 2025 [6] für das beste Open-Source-Entwicklungswerkzeug eingeheimst. Mit dem quelloffenen Framework haben Tool-Entwickler die volle Kontrolle darüber, wie sie KI in ihre Produkte integrieren.
• Google hat Material 3 Adapative 1.2.0 [7] zum Erstellen adaptiver User Interfaces in Android-Apps veröffentlicht. Die neue Version bringt die Eigenschaften reflow und levitate, um die Darstellung von Inhalten adaptiv anzupassen, wenn sich Fenstergrößen oder -verhältnisse ändern.

• Für Apache Arrow, ein Framework für schnelle spaltenorientierte In-Memory-Datenanalyse, liegt Version 22 vor [8]. Das Update bringt neue Python‑Versionen, verbesserte Dictionary‑Funktionen in Arrow Flight sowie zahlreiche Optimierungen in C++ und Parquet.
• Die neue Version 1.6 [9] des Hochleistungs‑JavaScript‑Bundlers Rspack liefert erweitertes Tree Shaking, Unterstützung für import defer, verbesserten ESM‑Output und Performance‑Anpassungen.
• Die stabile Version 7.17 des OpenAPI Generators kommt mit einer Breaking Change [10]: Die Eigenschaft REFACTOR_ALLOF_WITH_PROPERTIES_ONLY steht standardmäßig auf true. Als Fallback bietet sich der Schalter --openapi-normalizer REFACTOR_ALLOF_WITH_PROPERTIES_ONLY=false an. Hinzu kommen über sechzig weitere Änderungen.

Sollten Sie ein wichtiges Thema vermissen, freuen wir uns über Ihre Mail [11].

URL dieses Artikels:
https://www.heise.de/-10965399

Links in diesem Artikel:
[1] https://www.qt.io/blog/qt-creator-18-released
[2] https://blog.emberjs.com/ember-released-6-8/
[3] https://github.blog/changelog/2025-10-23-selected-claude-openai-and-gemini-copilot-models-are-now-deprecated/
[4] https://blog.rust-lang.org/2025/10/30/Rust-1.91.0/
[5] https://rust.bettercode.eu/?wt_mc=intern.academy.dpunkt.konf_dpunkt_bcc_rust.empfehlung-ho.link.link
[6] https://newsroom.eclipse.org/news/announcements/eclipse-foundation%E2%80%99s-theia-ai-wins-2025-codie-award-best-open-source-development
[7] https://android-developers.googleblog.com/2025/10/material-3-adaptive-120-is-stable.html
[8] https://arrow.apache.org/blog/2025/10/24/22.0.0-release/
[9] https://rspack.rs/blog/announcing-1-6
[10] https://github.com/OpenAPITools/openapi-generator/releases/tag/v7.17.0
[11] mailto:developer@heise.de?subject=Ein%20Vorschlag%20f%C3%BCr%20die%20Developer%20Snapshots
[12] mailto:who@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

heise developer neueste Meldungen ff.org

Docker Image Security – Teil 3: Minimale, sichere Container-Images selbst bauen

Minimale Container-Images reduzieren Schwachstellen durch weniger Komponenten. Anleitung für eigene Images mit Ubuntu Chiseled, WolfiOS und Azure Linux.

Minimale Container-Images verzichten auf Komponenten wie Shells oder Paketmanager, die zur Laufzeit normalerweise nicht gebraucht werden. Sie sind auch als "distroless" oder "chiseled" Images bekannt. Weil weniger Komponenten weniger Schwachstellen bedeuten, reduzieren diese Images die Angriffsfläche und erhöhen dadurch die Sicherheit.

Schlüsselfertige Images für ein Basis-Linux sowie die Sprachen PHP, Python, Java, C# und Node.js hat Teil 2 der Artikelserie [4] vorgestellt. Diese vorkonfektionierten Images passen jedoch nicht immer zu den eigenen Anforderungen und es kann notwendig sein, eigene zu erstellen. Dieser Artikel zeigt, wie Softwareentwicklerinnen und -entwickler eigene minimale Images basierend auf den Angeboten Ubuntu Chiseled, Chainguard/WolfiOS und Azure Linux bauen (siehe die folgende Tabelle).

Bauen von Ubuntu Chiseled Images

Canonical verwendet die Bezeichnung "Chiseled" für minimale, Ubuntu-basierte Images. Ein Blogbeitrag [5] stellt das Chisel-CLI von Ubuntu vor. Chisel ist ein Build-Tool, das Entwickler mit der gewünschten Ubuntu-Version (beispielsweise "24.04") und einer Liste von "Slices" aufrufen, die Chisel zu einem neuen Root-Filesystem zusammenbaut. Dieses Filesystem kopiert man anschließend in ein leeres scratch [6]-Image, wie der Ablaufplan in Abbildung 1 verdeutlicht:

Das Ubuntu-Team hat einige (jedoch nicht alle) der offiziellen Ubuntu-Pakete in mehrere Slices aufgeteilt und diese auf GitHub veröffentlicht [7]. Falls Slices für ein gewünschtes Paket fehlen, sollte man auf andere im Artikel erwähnte Ansätze wechseln. Denn bestehende GitHub Issues zeigen, dass reine Feature-Requests lange oder gänzlich ignoriert werden, und der Zeitinvest für die Einarbeitung für eigene Pull Requests (PRs) hoch ist.

Aufbauend auf Chisel stellt Canonical zudem das Rockcraft-Tool zur Verfügung, das auf einer höheren Abstraktionsebene arbeitet.

Verwenden des Chisel CLI

Bevor Entwickler tiefer in den Build-Prozess von Ubuntu Chiseled-Images einsteigen, sollten sie sich der folgenden zwei Einschränkungen bewusst sein:

1. Es lassen sich nur Pakete installieren, für die das Ubuntu-Team bereits Slice-Definitionen erstellt hat. Die Slices unterscheiden sich je nach Ubuntu-Version (beispielsweise hat 22.04 andere Slices als 24.04). Das ist insbesondere beim Erstellen eines Image für einen Interpreter einer Programmiersprache wie Java, Node.js oder Python relevant. Dabei stehen lediglich die in der jeweiligen Distro-Version mitgelieferten Interpreter-Versionen zur Verfügung. So gibt es bei Python im neuesten Ubuntu-LTS-Release (24.04) nur Python 3.12.3. Neuere 3.12-Versionen (oder 3.13) fehlen. Für Python 3.12.3 hat Ubuntu jedoch zumindest die seit dieser Version 3.12.3 bekannt gewordenen Schwachstellen behoben (sogenannte "Backports").
2. Es ist nicht möglich, die Versionen der Pakete oder Slices zu pinnen! Das Chisel CLI installiert immer die aktuelle Version des Pakets, die zum Zeitpunkt der Chisel-Ausführung im offiziellen Ubuntu-Repo verfügbar ist.

Der einfachste Weg, ein Chiseled-Image zu erstellen, ist ein Docker Multi-Stage Build. Wie man für ein Python-Image (mit Python 3.12.3) auf Basis von Ubuntu 24.04 vorgeht, erklärt das offizielle Chisel-Tutorial [8].

Da Schwachstellenscanner wie Trivy oder Grype die Pakete im frisch gebauten Image leider nicht korrekt identifizieren können, sind weitere Anpassungen am Dockerfile nötig. Der Grund dafür, warum die Scanner relevante Schwachstellen übersehen, geht aus einem GitHub Issue [9] hervor: Ubuntu hat entschieden, für Chisel-Images ein eigenes proprietäres Paket-Manifest-Format zu erfinden, das Scanner wie Trivy bisher nicht verstehen.

Ubuntu versucht daher mit Scanner-Anbietern zusammenzuarbeiten, wie beispielsweise eine GitHub-Diskussion [10] zu Trivy zeigt. Bis es so weit ist, können Entwickler einen Workaround nutzen: Das chisel-wrapper [11]-Skript generiert Metadaten im Standard-Debian-Paket-Format, das Scanner wie Trivy verstehen. Dazu sind im Dockerfile des Multi-Stage-Builds (vom offiziellen Tutorial [12]) folgende Änderungen vorzunehmen:

# Einfügen der folgenden 3 RUN-Zeilen, irgendwo vor dem "chisel cut" Befehl des Tutorials:
# "file" wird vom chisel-wrapper script benötigt
RUN apt-get update && apt-get install -y git file  
RUN git clone --depth 1 -b main https://github.com/canonical/rocks-toolbox /rocks-toolbox && mv /rocks-toolbox/chisel-wrapper /usr/local/bin/ && rm -rf /rocks-toolbox
RUN mkdir -p /staging-rootfs/var/lib/dpkg
# Ersetzen der RUN-Zeile, die den "chisel cut" Befehl ausführt, mit folgender Zeile:
RUN chisel-wrapper --generate-dpkg-status /staging-rootfs/var/lib/dpkg/status -- --release "ubuntu-$UBUNTU_RELEASE" --root /staging-rootfs <space-separated-chisel-list>

Ein vollständiges Beispiel für Python 3 liegt im GitHub [13]-Repository des Autors öffentlich parat. Es veranschaulicht den Build einer Flask-basierten Demo-Anwendung. Zudem demonstriert es, wie man ein Problem löst, das dadurch entsteht, dass der Python-Interpreter im Chiseled Basis-Image an einem anderen Pfad liegt als beim python [14]-Image, das in der Build-Stage verwendet wird. Ein weiteres GitHub-Gist [15] des Autors zeigt, wie man ein Chiseled Java JRE-Image erstellt und darin die Springboot-Petclinic-Anwendung ausführt.

Verwendung des Rockcraft CLIs

Ein weiterer Ansatz, Ubuntu Chiseled Images zu erstellen, ist das Rockcraft [16]-CLI, das auf einer höheren Abstraktionsebene als Chisel arbeitet.

Rockcraft greift intern auf Chisel zurück, um das Root-Filesystem zu erstellen. Über eine von Rockcraft eingelesene YAML-Datei legt man deklarativ die folgenden Aspekte fest:

• Die Ubuntu-Version, deren Slices verwendet werden sollen
• Die Liste der zu installierenden Slices
• Die CPU-Architekturen, für die Rockcraft das Image erstellen soll (für Multiplattform-Builds)
• Welcher Nicht-Root-Linux-User erstellt und automatisch beim Image-Start verwendet werden soll
• Welche Linux-Services zum Image-Start mit dem Pebble [17] Service-Manager gestartet werden sollen (Pebble ist eine Alternative zu systemd)

Mit Rockcraft erstellte, vorgefertigte Images lassen sich mit dem Suchbegriff "chisel" in der Canonical GitHub-Organisation finden, beispielsweise:

• Node.js [18], das Canonical regelmäßig baut und zu ubuntu/node [19] pusht
• Python [20], das Canonical regelmäßig baut und zu ubuntu/python [21] pusht
• RabbitMQ [22], das Canonical regelmäßig baut und zu ubuntu/rabbitmq [23] pusht

Die größten Nachteile von Rockcraft sind:

• Rockcraft macht den Build-Prozess durch zusätzliches Tooling komplexer (verglichen mit einem direkten Chisel-CLI-Aufruf).
• Es erzwingt die Nutzung des Pebble Service Managers, der als ENTRYPOINT für das Image gesetzt wird. Dies ist unnötig, denn im Gegensatz zur Vorgehensweise bei virtuellen Maschinen (VMs) sind Service-Manager bei Containern nicht üblich. In diesen Umgebungen ist es gewollt, dass der gesamte Container beendet wird, wenn das im ENTRYPOINT festgelegte Programm abstürzt. Denn Container Runtimes wie Docker Compose oder Kubernetes überwachen den Container-Status und starten ihn dann neu. Zudem finden Schwachstellenscanner wie Trivy im Pebble-Binary häufig CVEs. Diese stellen zwar meistens keine Bedrohung dar, verursachen allerdings unnötigen Diagnose-Aufwand.
• Die von Rockcraft generierten Images verwenden den chisel-wrapper-Trick für Schwachstellenscanner nicht. Folglich können diese die im Image installierten Komponenten nicht korrekt identifizieren und keine Schwachstellen melden.

Um sichere, minimale Images zu erstellen, ist es daher empfehlenswert, direkt das Chisel-CLI statt Rockcraft zu verwenden. Dennoch lohnt sich ein Blick in die stage-packages-Einträge der rockcraft.yaml-Dateien in den oben gelisteten Repositorys (beispielsweise für Python [24]), um eine Idee dafür zu bekommen, welche Slices im eigenen Image sinnvoll sind.

Bauen von WolfiOS/Chainguard Images

Chainguard ist einer der größten Anbieter für sichere, minimale Container-Images. Mit WolfiOS hat das Unternehmen einen umfangreichen Katalog von Open-Source-Software-Paketen aufgebaut, die im Alpine-APK-Format vorliegen. Ergänzend dazu hat Chainguard ein Build-Tool namens Melange als Open Source veröffentlicht, mit dem Anwender neue APK-Pakete erstellen, basierend auf einem als YAML-Datei definierten Rezept. Im Prinzip ist WolfiOS eine öffentliche Sammlung von über 3000 Melange-Rezepten für Open-Source-Pakete, die von Chainguard und der Community gepflegt werden. Man findet die Sammlung auf GitHub. Chainguard baut in seiner eigenen Infrastruktur die Binär-APKs regelmäßig für die 64-Bit-Intel/AMD- und ARM-CPU-Architekturen. Die APKs kann man auf dag.dev einsehen.

Verglichen mit anderen Linux-Distributionen ist Chainguard sehr schnell darin, Versions-Updates der Pakete in WolfiOS zu integrieren – meist innerhalb weniger Tage. Demgegenüber benötigt beispielsweise Ubuntu häufig mehrere Monate oder gar Jahre, bis etwa eine neue Python-Major-Version integriert ist.

Basierend auf dem WolfiOS Paket-Repository erstellt Chainguard dann Container-Images mit dem Open-Source-Tool apko [25]. Wie bei Melange konfigurieren Anwender apko mit einem YAML-Rezept. In diesem geben sie die Liste der Pakete an (mit optionalem Versions-Pinning) und konfigurieren Umgebungsvariablen und eigene Linux-Benutzer. Apko generiert dann ein Image (und zugehörige SBOM) aus diesem Rezept und pusht es optional in eine Registry.

Obwohl WolfiOS auf Alpines Paketformat basiert, sind die von apko erzeugten Images nicht Alpine-basiert. Daher ist die zugrunde liegende C-Bibliothek (sofern überhaupt eine im Image vorhanden ist) nicht musl, sondern glibc.

Chainguard baut viele schlüsselfertige Images und stellt sie in einem Image-Katalog [26] zur Verfügung. Die Firma verdient ihr Geld damit, Unternehmen diese Images im Abo-Modell zu verkaufen, inklusive älterer (noch offiziell gepflegter) Versionen wie etwa Python 3.11.

Bauen von Images mit apko

Möchte man mit apko ein Image mit WolfiOS-Paketen erstellen, besteht die Herausforderung darin, ein korrektes apko-Rezept zu entwerfen. Der Image-Katalog [27] von Chainguard hilft dabei, die richtigen Werte zu finden.

Das folgende Rezept erstellt ein minimales Runtime-Image mit Python 3.11 ohne Shell, C-Compiler oder pip:

contents:
  repositories:
    - https://packages.wolfi.dev/os
  keyring:
    - https://packages.wolfi.dev/os/wolfi-signing.rsa.pub
  packages:
    - python-3.11

entrypoint:
  command: /usr/bin/python

accounts:
  groups:
    - gid: 65532
      groupname: nonroot
      members: []
  users:
    - gid: 65532
      homedir: "/home/nonroot"
      shell: ''
      uid: 65532
      username: nonroot
  run-as: '65532'

archs:
  - amd64
  - arm64

Für jedes zu erstellendes Image sind die korrekten Werte für folgende Aspekte zu ermitteln:

• Enthaltene Pakete: Im YAML-Rezept ist contents.packages ein String-Array mit Paketnamen. Beim Bauen des Rezepts sollte man so wenige Einträge wie möglich angeben. Viele Pakete referenzieren implizit und rekursiv weitere Pakete. Das explizite Pinnen von Versionen ist mit der Syntax <package-name>~<major.minor.patch> möglich (Details dazu finden sich in der Chainguard Academy [32]).
• ENTRYPOINT und CMD: Bei apko wird der ENTRYPOINT (wie man ihn von Dockerfiles kennt) in entrypoint.command gesetzt, während CMD im YAML auf Root-Ebene in cmd festgelegt wird.
• Linux-Benutzerkonten: In accounts kann man Benutzer anlegen und festlegen, welcher Benutzer standardmäßig aktiv ist. Die meisten Chainguard-Images verwenden die Werte aus dem obigen Listing-Beispiel.
• Umgebungsvariablen: In einigen Fällen muss man im Rezept zusätzliche Umgebungsvariablen hinzufügen. Das gilt jedoch nicht für die Variablen PATH und SSL_CERT_FILE, da apko diese bereits implizit setzt.

Die vollständige Spezifikation für das YAML-Dateiformat des Rezepts findet sich auf GitHub [33]. Mit dem folgenden Vorgehen lassen sich die korrekten Werte für das Rezept bestimmen:

• Man installiert apko (oder benutzt dessen Container-Image) wie in der README von apko [34] beschrieben.
• Um die Linux-Benutzerkonten sowie ENTRYPOINT und CMD zu bestimmen, öffnet man das Image im Image-Katalog [35] von Chainguard und verwendet die Werte aus dem Specifications-Tab. Dabei muss das richtige Image-Tag im Dropdown "Version" ausgewählt sein.
• Um die richtigen packages zu bestimmen, wechselt man zum SBOM-Tab des Images (und wählt vorher erneut das richtige Image-Tag im “Version”-Dropdown aus). Zunächst trägt man das am relevantesten erscheinende Paket ins Rezept ein. Dann führt man in der Shell den Befehl apko show-packages your-recipe.yaml | sort aus, der die alphabetisch sortierte Liste aller rekursiv aufgelösten Pakete ausgibt. Stimmt diese Liste mit der im SBOM-Tab des Browsers überein, ist man fertig. Andernfalls muss man mindestens ein weiteres der fehlenden Pakete zu seinem YAML-Rezept hinzufügen, den Befehl apko show-packages erneut ausführen und den Vergleich wiederholen.

Ein konkretes Beispiel für das Image python:3.12-dev soll den Prozess verdeutlichen. Ein Dev-Image enthält alle Entwicklertools, daher sollten Entwickler es in der Build-Stage eines Multi-Stage-Dockerfiles verwenden, wie es die Dokumentation [36] von Chainguard erklärt. Ein Blick auf das SBOM-Tab [37] zeigt, dass "python-3.12-dev" ein guter erster Kandidat ist, denn dev-Meta-Pakete referenzieren für die Entwicklung relevante zusätzliche Komponenten. Der Befehl apko show-packages löst dieses Paket lediglich zu 27 Paketen auf, während das SBOM-Tab 74 Pakete auflistet (75, wenn man das chainguard-baselayout-Paket mitzählt). Um Schritt für Schritt herauszufinden, welche Pakete noch fehlen, könnte ein Vergleich beider Listen in ChatGPT helfen.

Eine bessere Methode ist jedoch, in den Quellcode [38] des Python-Images zu sehen: Dessen extra_dev_packages-Eintrag liefert den Hinweis, dass die Pakete build-base, py3-pip und uv hinzugefügt werden müssen. Ein anschließender erneuter Vergleich zeigt, dass immer noch 22 Pakete fehlen, darunter apk-tools, bash, busybox, git und wget. Erst nach deren Hinzufügen stimmen die Pakete mit den Angaben im SBOM-Tab überein. Folglich ist dies die Liste der Pakete für das python:3.12-dev Image:

contents:
  packages:
    - python-3.12-dev
    - py3.12-pip
    - build-base
    - uv
    - apk-tools
    - bash
    - busybox
    - git
    - wget

Sobald ein fertiges apko-Rezept vorliegt, kann man das Image auf folgende Arten bauen und pushen:

Soll das Image zunächst nur lokal ausgeführt werden, verwendet man den Befehl apko build pfad-zum-rezept.yaml image-name:tag pfad zur-tar-datei, gefolgt von docker load < pfad zur-tar-datei. Anschließend lässt sich das Image mit docker run image-name:tag ausführen. Apko erzeugt dabei standardmäßig eine separate SBOM-Datei für jede CPU-Architektur (im SPDX-Format) und legt sie neben der tar-Datei ab (beispielsweise sbom-x86_64.spdx.json).

Um das Image jedoch in einem Schritt bauen und pushen zu können, führt man apko publish pfad-zum-rezept.yaml image-name:tag aus (wobei der image-name den Server-Host der Registry beinhalten muss, z.B. myregistry.com/project/someimage). Dieser Befehl baut das Image (falls nötig) nochmal neu und pusht es anschließend.

Falls die Registry eine Authentifizierung erfordert, kann apko auf die Anmeldedaten zugreifen, die man zuvor via docker login konfiguriert hat.

Ein großer Vorteil von apko ist, dass die Image-Builds reproduzierbar sind. Ruft man apko publish zweimal mit dem gleichen Rezept auf (auf verschiedenen Maschinen), wird genau das gleiche Image mit denselben Manifesten und Digests erzeugt, solange die aufgelösten WolfiOS-Pakete (und deren Versionen) zum Aufrufzeitpunkt gleich sind.

Reproduzierbarkeit ist aus verschiedenen Gründen eine technische Herausforderung. Beispielsweise enthalten die Image-Manifeste Zeitstempel, wann der Build erzeugt wurde. Diese Zeitstempel ändern sich bei den meisten Build-Tools (z.B. "docker build" eines Dockerfiles) bei jedem Build, sodass sich auch die Image-Digests ändern. apko verwendet jedoch nicht die aktuelle Zeit für die Build-Zeitstempel, sondern den Zeitpunkt, an dem das zuletzt aktualisierte WolfiOS-Paket gebaut wurde.

Bei der Ausführung von apko publish lädt apko zudem die SBOMs des Images in die Registry hoch, und verwendet dabei den Attachment-Modus, bei dem apko zusätzliche Image-Tags nach dem Schema "sha256-<image-hash>.sbom" erstellt. Diese Anhänge sind nicht signiert und sollten daher nicht mit (kryptographisch verifizierbaren) SBOM-Attestierungen verwechselt werden, wie sie unter anderem cosign attest erzeugt.

Zur Veranschaulichung stellt der Autor auf GitHub [39] ein vollständiges Beispiel zur Verfügung, das den Build eines Chainguard-basierten Python 3.12-Basis-Images zusammen mit einer Beispielanwendung demonstriert.

Bauen von Azure Linux Distroless Images

Microsofts Linux-Distribution trägt seit Version 3 den Namen von Azure Linux [40]. Die im Jahr 2020 gestartete Entwicklung erfolgte noch unter der Bezeichnung "Common Base Linux (CBL) Mariner". Nähere Details liefert ein Blogpost [41]. Azure Linux basiert auf dem RPM-Paketformat und verwendet Tiny DNF (tdnf) als Paketmanager.

Minimale Images tragen bei Microsoft die Bezeichnung "distroless". Wie sich solche Images mit dem Open-Source-Tool Marinara erstellen lassen, ist im Folgenden dargelegt.

Microsoft kontrolliert genau, welche Pakete und Versionen Azure Linux enthält. Die Liste ist recht umfassend (siehe die SPECS- und SPECS-EXTENDED-Ordner des Azure-Linux-Quellcodes [42]). Die Paketversionen sind nicht immer topaktuell, aber in der Regel auch nicht stark veraltet. Microsoft patcht Schwachstellen aktiv und erstellt Backports für CVEs, die sonst nur in neueren Upstream-Paketversionen verfügbar sind. Verschiedene Image-Schwachstellenscanner (wie Trivy oder Grype) unterstützen die Paketerkennung in Azure Linux offiziell und zuverlässig.

Bauen von Images mit Marinara

Marinara [44] besteht aus einer Sammlung von Python-Skripten, die tdnf-Befehle ausführen, um Pakete zu installieren und optional einen Nicht-Root Linux-User zu erstellen. Microsoft veröffentlicht ein vorgefertigtes Image (das Python 3 und die Marinara-Skripte enthält) unter mcr.microsoft.com/azurelinux/marinara:3.0.

Um ein neues Distroless Image zu erstellen, empfiehlt Microsoft einen Multi-Stage-Build-Ansatz, bei dem man eine finale FROM scratch-Stage hat, in die man die in der Build-Stage von Marinara generierten Dateien hineinkopiert. Es gibt ein Beispiel-Dockerfile [45], das diesen Multi-Stage-Build umsetzt.

Der folgende Befehl verwendet das Dockerfile, um ein angepasstes Azure Linux Distroless Image zu erstellen. Anzupassen sind darin lediglich die Passagen "your/desired/image:tag" in Zeile 2 und "distroless-packages-base nodejs" in Zeile 7:

docker build https://github.com/microsoft/marinara.git \
  -t your/desired/image:tag \
  -f dockerfiles/dockerfile-new-image \
  --build-arg AZL_VERSION=3.0 \
  --build-arg NAMESPACE=azurelinux \
  --build-arg IMAGE_TYPE="custom-nonroot" \
  --build-arg PACKAGES_TO_INSTALL="distroless-packages-base nodejs" \
  --build-arg USER="nonroot" --build-arg USER_UID=65532

Dieser Befehl nutzt das Docker- und BuildKit Feature, das ein Dockerfile direkt aus einem Git-Repository [46] baut, ohne dieses erst lokal klonen zu müssen. Wie aus der Marinara-Dokumentation [47] hervorgeht, hat das fertige Image folgende Eigenschaften:

• Optional einen Nicht-Root Linux-User, dessen Name und ID man als Build-Argumente angibt.
• Die einzigen Pakete, die Marinara in das Image installiert, sind diejenigen, die im Build-Argument PACKAGES_TO_INSTALL definiert sind, durch Leerzeichen getrennt. Neben der selbst gewählten Pakete (wie "nodejs") muss zudem entweder distroless-packages-minimal oder distroless-packages-base mit angegeben werden. Dies sind Meta-Pakete mit notwendigen Basis-Bibliotheken. In der Dokumentation [48] sowie dem Sourcecode [49] ist der Unterschied erklärt. Alternativ zu diesen beiden Paketen gibt es das debug-Paket, das jedoch eine Shell enthält und daher nur zu Debugging-Zwecken eingesetzt werden sollte, da ansonsten das resultierende Image nicht mehr minimal ist.

Um herauszufinden, welche Pakete in Azure Linux zur Verfügung stehen (und in welcher Version), kann man eine interaktive Shell über docker run --rm -it mcr.microsoft.com/azurelinux/base/core:3.0 bash starten und dann eine Suche mit tdnf list | grep Suchbegriff durchführen. Wer mehr über den genauen Inhalt eines Pakets erfahren möchte, sollte sich die Spec-Datei des Pakets im SPECS-Ordner auf GitHub [50] ansehen. Zudem ist zu berücksichtigen, dass Marinara das Pinning konkreter, älterer Paket-Versionen nicht unterstützt.

Da die Marinara-Builds nicht reproduzierbar sind, erfordert es etwas höheren Aufwand zu ermitteln, ob man ein zuvor gebautes Distroless Image erneut bauen muss. Hierzu extrahiert man die Datei /var/lib/rpmmanifest/container-manifest-1 aus dem neu erstellten Image und vergleicht deren Inhalt mit derselben Datei aus einem vorherigen Image-Build. Hier ein Auszug des Inhalts der Datei:

SymCrypt-OpenSSL.1.8.1-1.azl3.x86_64
SymCrypt.103.8.0-1.azl3.x86_64
attr.2.5.2-1.azl3.x86_64
azurelinux-release.3.0-29.azl3.noarch
bash.5.2.15-3.azl3.x86_64
...

Ein weiteres Beispiel des Autors auf GitHub [51] demonstriert den täglichen Build eines Azure-Linux Python-3.12-Basis-Images, inklusive einer darauf aufbauenden Beispielanwendung.

Fazit

Typische Szenarien, in denen Entwicklerinnen und Entwickler ein eigenes minimales Image erstellen möchten, sind:

• Es gibt kein fertig gebautes Image, das die benötigten Pakete enthält.
• Vorhandene Images enthalten zu viele Pakete, die Angreifern eine unnötig große Angriffsfläche bieten.

Auf den ersten Blick mag es mühsam erscheinen, eine eigene Image-Build-Infrastruktur hochzuziehen. Doch die im Artikel verlinkten Beispiel-GitHub-Repositorys des Autors demonstrieren, dass dies mit überschaubarem Aufwand möglich ist. Für die ersten Experimente lassen sich die kostenlosen Actions-Workflows von GitHub in einem öffentlichen Repository nutzen und ein Cron-Workflow ausführen, der die Images baut, pusht und signiert.

Von den drei vorgestellten Anbietern minimaler Images empfiehlt sich WolfiOS von Chainguard als die erste Wahl. Deren Dokumentation ist ausführlich, es lassen sich die aktuellsten Upstream-Paket-Versionen nutzen und bei Bedarf trotzdem ältere Versionen pinnen.

Zu berücksichtigen ist jedoch, dass Chainguard ein Start-up ist – und daher das WolfiOS-Projekt jederzeit eingestellt werden könnte. Es ist daher von Vorteil, Alternativen wie Ubuntu Chiseled oder Azure Linux Distroless auf dem Schirm zu haben. Von diesen beiden verfügt Azure über den wesentlich größeren Katalog. Ubuntu bietet ähnlich viele Pakete wie Azure, stellt aber wesentlich weniger Chisels bereit: den ca. 500 Ubuntu Chiseled-Paketen stehen über 3000 Pakete bei Azure gegenüber. Sind die benötigten Pakete allerdings hier wie dort vorhanden, können Entwicklerinnen und Entwickler entweder die Distro mit den neueren Paket-Versionen nutzen – oder ganz nach persönlicher Vorliebe auswählen.

URL dieses Artikels:
https://www.heise.de/-10964627

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-1-Die-groessten-Irrtuemer-ueber-Image-Scanner-10497655.html
[2] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-2-Minimale-und-sichere-Docker-Images-10631065.html
[3] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-3-Minimale-sichere-Container-Images-selbst-bauen-10964627.html
[4] https://www.heise.de/hintergrund/Docker-Image-Security-Teil-2-Minimale-und-sichere-Docker-Images-10631065.html
[5] https://ubuntu.com/blog/combining-distroless-and-ubuntu-chiselled-containers
[6] https://hub.docker.com/_/scratch
[7] https://github.com/canonical/chisel-releases
[8] https://documentation.ubuntu.com/chisel/en/latest/how-to/use-chisel-in-dockerfile/
[9] https://github.com/canonical/chisel/issues/51
[10] https://github.com/aquasecurity/trivy/discussions/8644
[11] https://github.com/canonical/rocks-toolbox/blob/main/chisel-wrapper
[12] https://documentation.ubuntu.com/chisel/en/latest/how-to/use-chisel-in-dockerfile/
[13] https://github.com/MShekow/ubuntu-chiseled-python-demo
[14] https://hub.docker.com/_/python
[15] https://gist.github.com/MShekow/d7a3c0a8a9563af57965f5c36d7a6b1a
[16] https://github.com/canonical/rockcraft
[17] https://documentation.ubuntu.com/rockcraft/en/latest/explanation/pebble/
[18] https://github.com/canonical/node-rock
[19] https://hub.docker.com/r/ubuntu/node
[20] https://github.com/canonical/chiselled-python
[21] https://hub.docker.com/r/ubuntu/python
[22] https://github.com/canonical/rabbitmq-rock
[23] https://hub.docker.com/r/ubuntu/rabbitmq
[24] https://github.com/canonical/chiselled-python/blob/main/python3.12/rockcraft.yaml
[25] https://edu.chainguard.dev/open-source/build-tools/apko/overview/
[26] https://images.chainguard.dev/directory
[27] https://images.chainguard.dev/directory
[28] https://images.chainguard.dev/directory
[29] https://images.chainguard.dev/directory/image/python/sbom
[30] https://images.chainguard.dev/directory/image/adoptium-jre/sbom
[31] https://images.chainguard.dev/directory/image/consul/sbom
[32] https://edu.chainguard.dev/open-source/wolfi/apk-version-selection/
[33] https://github.com/chainguard-dev/apko/blob/main/docs/apko_file.md
[34] https://github.com/chainguard-dev/apko/
[35] https://images.chainguard.dev/directory/
[36] https://edu.chainguard.dev/chainguard/chainguard-images/getting-started/python/#example-2-multi-stage-build-for-python-chainguard-container
[37] https://images.chainguard.dev/directory/image/python/sbom
[38] https://github.com/chainguard-images/images/blob/main/images/python/main.tf
[39] https://github.com/MShekow/chainguard-python-demo
[40] https://en.wikipedia.org/wiki/Azure_Linux
[41] https://medium.com/@dvkumaraws2019/why-microsoft-built-its-own-linux-a-deep-dive-into-azure-linux-77c3f3ff17a0
[42] https://github.com/microsoft/azurelinux
[43] https://mcr.microsoft.com/
[44] https://github.com/microsoft/marinara
[45] https://github.com/microsoft/marinara/blob/main/dockerfiles/dockerfile-new-image
[46] https://docs.docker.com/build/concepts/context/#git-repositories
[47] https://github.com/microsoft/marinara/blob/main/instructions/quickstart.md
[48] https://mcr.microsoft.com/en-us/artifact/mar/azurelinux/distroless/base/about
[49] https://github.com/microsoft/azurelinux/blob/3.0/SPECS/distroless-packages/distroless-packages.spec
[50] https://github.com/microsoft/azurelinux
[51] https://github.com/MShekow/azure-linux-distroless-python-demo
[52] mailto:map@ix.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

2 Abstürze in 30 Minuten: Was lief auf der USS Nimitz schief?

Mysteriöse Unfallserie auf der USS Nimitz: Ermittler vermuten eine brisante Ursache für die Abstürze im Südchinesischen Meer.

Die US-Marine untersucht die Treibstoffversorgung des Flugzeugträgers USS Nimitz als mögliche Ursache für zwei Flugzeugabstürze im Südchinesischen Meer. Präsident Donald Trump nannte am Montag verunreinigten Treibstoff als wahrscheinlichen Grund für die Vorfälle.

Zwei Abstürze hintereinander

Am Sonntagnachmittag stürzten binnen einer halben Stunde zwei Militärflugzeuge der Nimitz ab. Um 14:45 Uhr Ortszeit ging ein MH-60R Sea Hawk Hubschrauber der Helicopter Maritime Strike Squadron 73 während Routineoperationen ins Wasser.

Um 15:15 Uhr folgte ein F/A-18F Super Hornet Kampfjet der Strike Fighter Squadron 22. Alle fünf Besatzungsmitglieder beider Maschinen konnten von Such- und Rettungskräften sicher geborgen werden, berichtet [1] das Fachportal The War Zone.

"Es könnte schlechter Treibstoff sein. Ich meine, es ist möglich, dass es schlechter Treibstoff ist. Sehr ungewöhnlich, dass so etwas passiert", sagte Trump gegenüber Reportern an Bord der Air Force One. Auf die Frage nach möglichen Sabotageakten antwortete der Präsident: "Ich glaube nicht" und bekräftigte seine Theorie über kontaminierten Treibstoff.

Zwei mit der ersten Untersuchung vertraute Quellen bestätigten [2] gegenüber USNI News Trumps Aussagen. Verunreinigter Treibstoff in den Flugzeugen gelte als Hauptverdächtiger für beide Abstürze, betonten sie jedoch, dass die ersten Berichte weit von einem endgültigen Ergebnis entfernt seien.

Ein Sprecher der US-Marine wollte sich nicht zu Trumps Äußerungen äußern und verwies an das Weiße Haus. Ein Marinebeamter sagte gegenüber The War Zone: "Wir glauben nicht, dass es etwas Böswilliges war."

Umfangreiche Treibstoffkontrollen üblich

Beide Flugzeuge verwenden JP-5, den Standard-Düsentreibstoff der Marine für Seeoperationen. Dieser wird in Tanks der Nimitz gelagert und von Tankern der Military Sealift Command nachgeliefert. Dabei durchläuft der Treibstoff mehrere Kontroll- und Filtrationsstufen.

Flugzeugträger der Nimitz-Klasse können bis zu 11 Millionen Liter Flugkraftstoff speichern. Zwischen jedem Schritt wird der Treibstoff auf Reinheit getestet und mehrfach gefiltert, bevor er von der V-4 Air Department in die Flugzeuge gepumpt wird.

"Unser Job ist wichtig, denn wenn Flugzeuge Flugoperationen durchführen, kann kontaminierter Treibstoff Fehlfunktionen verursachen und möglicherweise einfrieren, wenn die Werte nicht stimmen", erklärte ein V-4-Matrose 2019.

Die USS Nimitz befindet sich auf ihrer letzten Fahrt vor der geplanten Außerdienststellung im nächsten Jahr. Der 1975 in Dienst gestellte Flugzeugträger kehrt derzeit zu seinem Heimathafen Naval Base Kitsap in Washington zurück, nachdem er den Sommer über hauptsächlich im Nahen Osten stationiert war.

Eine vollständige Untersuchung der Abstürze könnte Monate dauern.

URL dieses Artikels:
https://www.heise.de/-10962916

Links in diesem Artikel:
[1] https://www.twz.com/sea/bad-fuel-may-have-caused-back-to-back-nimitz-aircraft-crashes-trump
[2] https://news.usni.org/2025/10/27/navy-probes-uss-nimitz-fuel-supply-after-crashes-trump-points-to-bad-fuel

Copyright © 2025 Heise Medien

Adblock test (Why?)

Telepolis

Strategien des Widerstands: Warum List effektiver ist als Konfrontation

Ein Gefängnispsychologe erklärt, warum der Hofnarr klüger handelt als der Revolutionär – und was Orwell mit heruntergelassenen Hosen zu tun hat.

Gegen Schufte muss man mit List agieren, sonst ist man perdu.

Heinrich Heine

Wenn mir bei meiner Tätigkeit als Gefängnispsychologe ein Gefangener begegnete, der sich über die Maßen über eine vermeintliche oder auch reale Ungerechtigkeit aufregte, welche die Justiz ihm angetan hatte, habe ich diesem manchmal mit Karl Valentin geraten: "Am besten gar net erst ignorieren!"

Will sagen: Man muss nicht in jedes Messer hineinlaufen, das einem hingehalten wird. Aus irgendeinem Gefängnis der Welt stammt der Satz:

"Wer mit dem Kopf gegen die Wand rennt, landet in der Nachbarzelle."

Man muss nicht immer direkt gegen ein erlittenes Unrecht angehen, man kann sich auch mal listig verhalten oder die Situation mit einem Witz und einem anarchischen Lachen entspannen. Der Macht eine Nase drehen.

Vor allem sollte man sich von der Macht nicht auf ein Gelände locken lassen, wo sie sich auskennt und ein Heimspiel hat und man garantiert den Kürzeren zieht. Nicht reflexartig das tun, was erwartet wird, sich mal seitwärts in die Büsche schlagen und an einer Stelle wieder auftauchen, wo niemand mit einem rechnet. Sich wie ein Guerrillero verhalten, den Feind nicht frontal angreifen und ihm nicht ins Messer laufen, sondern in die Flanken fallen.

Das ist die Strategie des Widerstands. Die Herrschenden wollen, dass man sie frontal angreift, den Gefallen dürfen wir ihnen nicht tun. Man muss listig sein und von Seiten kommen, die der Gegner nicht erwartet. Man muss der Macht nicht überall und immer die Stirn bieten.

Gelegentlich kann und darf man auch fliehen und es so einrichten, dass die Fahnenflucht das ironische Aussehen des Konformismus annimmt. Wer seine Identität ausschließlich aus dem Kampf gegen den Staat bezieht, wird ihm immer ähnlicher und schließlich selbst zum Staat.

Revolutionäre Gruppierungen und Parteien, die mit der Macht liebäugeln und den Staat erobern wollen, werden zu Embryonen neuer Staatsapparate. Die Geschichte des Bolschewismus und der Sowjetunion haben gezeigt, wohin das führen kann.

Linke sollten um den Zusammenhang von Zielen und Mitteln wissen, den Gustav Landauer so formuliert hat:

"Nie kommt man durch Gewalt zur Gewaltlosigkeit."

Mit anderen Worten: Es besteht die Gefahr, dass die Gewalt, die im Klassenkampf notwendig sein mag, in die neue Gesellschaft eingeschleppt wird und sie im Kern beschädigt. Das einzige Gegengift gegen die Gewalt der Abstraktion und den Rigorismus des: "Dieser Mensch ist nichts als ..." ist Mitgefühl und Sensibilität für besondere Umstände.

Wie Orwell auf einen Faschisten schießen wollte

In diesem Kontext fällt mir eine Szene aus einer Dokumentation über George Orwell ein, die ich vor Jahren einmal gesehen habe. Orwell ist zu Beginn des Bürgerkriegs nach Spanien gekommen, um für die Republik und gegen die Faschisten zu kämpfen. Viel Zeit vergeht mit Vorbereitungen und mehr oder minder sinnlosen militärischen Übungen.

Man sieht ihn auf einem Kasernenhof inmitten seiner Kameradinnen und Kameraden. Wegen seiner enormen Körpergröße ragt sein Kopf aus der Menge der Exerzierenden heraus. Endlich zu den feindlichen Gräben an der Aragon-Front vorgedrungen, wartet Orwell tagelang vergeblich darauf, einen Faschisten ins Visier zu bekommen.

Als er schließlich einen Feind im Schussfeld auftauchen sieht, war es ein Soldat, der eben seine Notdurft verrichtet hatte. Er geriet dabei unter Beschuss und musste auf seiner Flucht seine Hosen halten, um nicht zu stürzen, und plötzlich konnte Orwell nicht abdrücken:

"Ich war gekommen, um 'Faschisten' zu erschießen; aber ein Mann mit heruntergelassenen Hosen ist kein 'Faschist', er ist offensichtlich ein Mitgeschöpf."

Eine beeindruckende Szene, wie er das Gewehr sinken lässt und diesen Satz sagt. Er enthält im Kern alles, was den Orwellschen Humanismus ausmacht und ihn vor Vereinnahmung durch Systeme totalitärer Herrschaft schützte. Plötzlich funktioniert die Reduktion des Anderen auf den "Feind" nicht mehr: "Das da ist ein Faschist, der zu liquidieren ist!"

Ein Mensch besteht aus verschiedenen Teilpersonen, ist immer der Inbegriff von Hoffnung, Erwartung, Sehnsüchten. Der Mann mit den heruntergelassenen Hosen hat eine Frau, Kinder, träumt von einem anständigen Leben und ist auf die betrügerischen Versprechungen der Faschisten hereingefallen.

Die Reduktion auf den "Feind" oder eine "Funktion", die ein Mensch im kapitalistischen Verwertungszusammenhang einnimmt, schneidet all das ab. Diese Szene lehrt uns: Einfühlungsvermögen ist kein bürgerliches Relikt, sondern eine Kardinaltugend der Veränderung und der aus ihr hervorgehenden freien Gesellschaft. Hass, so nachvollziehbar er sein mag, entstellt das Antlitz der Revolution und verzerrt die Züge der Kämpfenden.

"Keep cool!"

Der amerikanische Bürgerrechtler Marcus Garvey hat seinen afroamerikanischen Brüdern und Schwestern Ende der 1920er Jahre als Strategie im Kampf gegen die rassistische weiße Übermacht empfohlen: "Keep cool!" Das sollte keineswegs ein Aufruf zur Gefühllosigkeit und emotionalen Kälte als Grundhaltung und Dauerzustand sein, zu der Coolness unter dem Neoliberalismus verkommen ist.

Sie sollten sich nur so lange durch eine die eigene Würde bewahrende Affektkontrolle gegen die Demütigungen durch die weiße Übermacht immunisieren, bis sich die Konstellation des Kampfes zu ihren Gunsten verändert hätte. Sie sollten sich nicht durch überschäumende Wut zu unbedachten Handlungen hinreißen lassen.

Das Gefängnis war, wenn man so will, meine Schule der Dissidenz. Ohne sie hätte auch ich im Gefängnis nicht überlebt. Während meiner Zeit als Psychologe im Gefängnis hatte ich zuverlässig die Rolle des Hofnarren inne.

Der Narr in der Tradition Till Eulenspiegels kultiviert den Widerstand der kleinen Schritte und vermag sich auf diese Weise der schmählichen Alternative, Handlanger des Systems zu sein oder als Opfer von ihm verschlungen zu werden, zu entziehen. Die Position des Narren ließ mir manche Freiheit, ging aber auch mit einer von mir akzeptierten Machtlosigkeit einher.

Auf Lob und Anerkennung "von oben" verzichten

Diese Rolle einzunehmen heißt auch, auf Lob und Anerkennung "von oben" zu verzichten, von dort keine Gratifikationen zu erwarten – weder materielle noch narzisstische. Lob und Anerkennung von oben sind in der Regel die Quittung für Anpassung und Unterwerfung.

Lob von oben gleicht dem Leckerli, das der Herr seinem Hund hinwirft, wenn er seine Aufgabe brav und zu dessen Zufriedenheit erledigt hat. Diesen Umstand hatte wohl Nietzsche vor Augen, als er bemerkte: "Im Lob ist mehr Zudringlichkeit als im Tadel."

Das heißt, der Dissident muss lernen, die auch für sein Leben unabdingbaren narzisstischen Gratifikationen aus etwas anderem zu schlagen – aus Augenblicken gelingenden Lebens, geglückten Gesprächen und Begegnungen, aus kurzen Momenten des Glücks, in denen die Möglichkeit der Freiheit aufblitzt. Diese Erfahrungen sind nur an den Rändern zu machen, nicht im Zentrum und mit starrem Blick auf die Macht.

Ich hatte mich also für die Ohn-Macht entschieden und fuhr ganz gut damit. Die Gefangenen waren darüber manchmal enttäuscht, weil sie sich von mir irgendwelche Wunderdinge erwarteten, die ich aber wegen meiner Ohn-Macht nicht bewirken konnte.

Die Klügeren unter ihnen verstanden und akzeptierten das. Der Preis, den ich hätte entrichten müssen, um Einfluss auf gewisse Entscheidungen nehmen zu können, war mir zu hoch. Ich hätte mich tief in den Apparat hineinbegeben müssen und wäre von ihm verschluckt worden. Macht zu besitzen und auszuüben widerspricht einfach meinem Naturell, wenn ich das so sagen darf.

Der Weg ins Leben war mir aus Gründen, über die hier nicht zu reden ist, versperrt. Ich stand, wie Robert Walser das einmal ausgedrückt hat, staunend vor der Tür des Lebens, die nur einen Spaltbreit geöffnet war.

So konnte ich aus meinem Abseits heraus beobachten, was im Leben der Erwachsenen vor sich geht, nahm aber nicht daran teil. Diese Beobachterrolle habe ich bis heute – nicht nur in meinem Schreiben – inne. Das distanzierte und staunende Beobachten ist die Essenz meines Schreibens und Lebens, was ja beinahe dasselbe ist.

URL dieses Artikels:
https://www.heise.de/-10965512

Links in diesem Artikel:
[1] https://durchhalteprosa.de/

Copyright © 2025 Heise Medien

Adblock test (Why?)

Golem.de Full über fivefilters.org

Oberes 6-Gigahertz-Band: Wildberger vor "fataler technischer Fehleinschätzung"

Langfristig Netzabdeckung in Ballungsräumen marginal verbessern

Lisia Mix-Bieber, Cheflobbyistin beim Bundesverband Breitbandkommunikation (Breko), nannte dies aus technischer und volkswirtschaftlicher Sicht eine "fatale Fehleinschätzung. Statt die kostenfreie WLAN-Nutzung durch alle Bürgerinnen und Bürger zu stärken und die dank Glasfaser möglichen Bandbreiten effizient auch auf alle mobilen Geräte zu bringen, würde eine Reservierung der Frequenzen für die Mobilfunkkonzerne kurzfristig gar keinen Nutzen bringen und langfristig, wenn überhaupt die Netzabdeckung in Ballungsräumen marginal verbessern" , sagte sie. Stattdessen sollte die RSPG der EU-Kommission am 12. November empfehlen, mindestens 320 MHz im oberen 6 GHz-Band für die lizenzfreie WLAN-Nutzung freizuhalten.

HPE appellierte an Wildberger

"Aus Kundensicht bringt WLAN die Leistung der Glasfaser verlässlich bis ins Endgerät und entlastet zugleich 5G dort, wo Mobilität zählt" , hatte Philippe Lorenz, Head of Government Relations Germany bei Hewlett Packard Enterprise (HPE) in einem Schreiben an Bundesdigitalminister Karsten Wildberger (CDU) erklärt, dass Golem vorliegt.

Das große, zusammenhängende Spektrum bei 6.425 bis 7.125 MHz wird in Deutschland bislang für Satellitenverbindungen, aber auch für Richtfunk eingesetzt, hatte die Bundesnetzagentur erklärt. Die Radioastronomie (6.650 bis 6.675,2 MHz) und der Weltraumforschungsfunkdienst (7.075 bis 7.125 MHz) sind weitere wichtige Nutzer.

Adblock test (Why?)

Mac & i ff.org

Apples Familienfreigabe: Konfliktpotenzial bei einer Trennung

Wenn Personen auseinander gehen, die zuvor zusammen in einer Apple-Familienfreigabe kooperiert hatten, kann es Schwierigkeiten geben. Eine Lösung fehlt.

Eigentlich ist Apples sogenannte Familienfreigabe [1], auf Englisch auch Family Sharing genannt, eine nützliche Sache: Ein Organisator kann darüber mit bis zu fünf weiteren Familienmitgliedern gemeinsam auf Dienste wie App Store, iCloud+, Apple TV und mehr zugreifen und unter anderem bestimmen, wer was darf – etwa bei Jugendlichen und Kindern. Das Problem: Kommt es zu einer Trennung, können Konflikte entstehen. Sollten sich beide Elternteile nicht mehr verstehen, darf der Organisator weiter darüber bestimmen, was der Nachwuchs kann – in den USA weigerten sich Personen bereits, dies trotz gerichtlicher Anordnung zu unterlassen.

Gruppe bleibt bestehen

So soll ein Ex-Ehemann die Familienfreigabe laut einem Bericht des Magazins Wired [2] "zur Waffe" gemacht haben. Nach dem Ende der Beziehung verfolgte die Person den Nachwuchs, der abwechselnd bei der Mutter lebte, weiterhin mittels "Wo ist?"-Tracking, überwachte die Gerätenutzung per Bildschirmzeit [3] und spielte darüber die Kinder gegen die Mutter aus. Der Ex-Ehemann weigerte sich, die Familiengruppe aufzulösen.

"Ich bin fälschlicherweise davon ausgegangen, dass ich als sorgeberechtigter Elternteil mit einer gerichtlichen Verfügung Apple dazu veranlassen könnte, meine Kinder in eine neue Familiengruppe zu verschieben, mit mir als Organisator", so die Betroffene. Apple selbst konnte (oder wollte) nicht helfen, da der Familienorganisator die Macht hat [4]. Der Konzern kommentierte das Problem nicht.

Eine Person ist der Chef

Die Familienfreigabe existiert bereits seit 2014. Der Grund dafür, dass es nur einen Familienorganisator geben kann, dürfte darin liegen, dass nur diese Person für die gesamte Gruppe zahlt – und letztlich Apples Geschäftspartner ist. Warum es keine Möglichkeit gibt, eine Teilung vorzunehmen, ist unklar. Ein Löschen und ein Neustart mit völlig neuen Apple-Accounts kommt für Betroffene oft nicht in Frage, weil die gesamte iPhone-, iPad- oder Mac-Identität an dem Account hängt.

Zwar erlaubt die Familienfreigabe, beide Elternteile zu Administratoren zu machen. Doch nur einer hat die vollständige Macht. Apple selbst trennt die Mitglieder einer Familiengruppe in Kinder, Erwachsene, "erziehungsberechtigte Personen" sowie den Organisator. In dem Fall, von dem das Magazin Wired schreibt, gab es zumindest ein Happy End: Die Kinder gingen ihrem Vater so lange auf die Nerven, bis dieser die Gruppe auflöste.

URL dieses Artikels:
https://www.heise.de/-10964805

Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Apples-Familienfreigabe-voll-auskosten-Inhalte-teilen-Geld-sparen-9679018.html
[2] https://www.wired.com/story/apples-family-sharing-helps-keep-children-safe-until-it-doesnt/
[3] https://www.heise.de/news/Kinderschutz-iOS-26-und-Co-erweitern-Funktionen-fuer-Eltern-10444245.html
[4] https://support.apple.com/de-de/108380
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:bsc@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Mac & i ff.org

KI: Apple steckt mehr Geld rein – verspricht weiter neue Siri für 2026

Neben den iPhone-Verkäufen interessierten sich Analysten bei den Apple-Zahlen vor allem für das Thema KI. Die Chefetage blieb eher schmallippig.

Der KI-Hype im Silicon Valley und an der Börse [1] geht munter weiter – doch Apple lässt es weiter langsam angehen. Der Konzern vermarktet nach wie vor weder einen eigenen Chatbot [2] noch Bezahldienste für Apple Intelligence [3] mit mehr Power, setzt hingegen auf lokale Modelle [4] und privatsphärengeschützte Cloud-Services [5]. Auch bei den am Donnerstag bekannt gegebenen Quartalszahlen [6] gab sich Apple im Hinblick auf KI eher schmallippig. Immerhin steigen die Investitionen.

Mehr Ausgaben für KI

So steigen die Capital Expenditures (CapEx, Investitionsausgaben) vor allem dank KI auf nun 18,1 bis 18,5 Milliarden Dollar. Laut Finanzchef Kevan Parekh ist das ein signifikanter Zuwachs. Die Betriebsaufwendungen speisen sich demnach vor allem aus Forschung und Entwicklung. "Wir erhöhen unsere Investitionen in KI und investieren gleichzeitig weiter in unsere Produkt-Roadmap." Konzernchef Tim Cook betonte, Apple sei nach wie vor offen für Aufkäufe. Auf die Frage, ob das auch für KI-Grundmodelle gilt, sagte er, Apple beobachte den Markt in diesem Hinblick weiter.

"Wir sind offen für Übernahmen, wenn wir glauben, dass dies unsere Roadmap voranbringt." Das Problem dabei: Die Preise für Aufkäufe im KI-Markt sind mittlerweile derart hoch, dass dies selbst für Apples tiefe Taschen zum Problem werden könnte. Bislang größte Übernahme des Konzerns war bislang der Audiohersteller und Musikstreaminganbieter Beats im Jahr 2014 [7] – für aus KI-Marktsicht lächerliche drei Milliarden US-Dollar.

Siri kommt noch – mal wieder

Die übliche Frage, wie es denn Apples überarbeiteter Sprachassistentin Siri [8] geht, die das Unternehmen verschieben musste, beantwortete ebenfalls Cook. Laut seiner Aussage sei man weiter "on track" für eine Veröffentlichung im kommenden Jahr. Derzeit gibt es Hoffnung, dass es Frühjahr werden könnte, allerdings sollen die Teams unlängst intern Bedenken [9] geäußert haben. Apple hat zudem bereits zahlreiche Mitarbeiter aus seiner KI-Abteilung an Konkurrenten verloren [10].

Cook wollte interessanterweise keine Angaben dazu machen, ob das Suchvolumen auf iPhone und Co. aufgrund von KI abnimmt – hier kassiert Apple mindestens 20 Milliarden Dollar von Google pro Jahr [11]. Das Werbegeschäft, zu dem Apple neben selbst vermarkteter Werbung [12] auch die Suchreklame via Google zählt, sei insgesamt gewachsen, so Cook und habe Rekordzahlen erreicht. Allerdings weigerte er sich, mitzuteilen, wie viel auf welchen Bereich entfällt. "Wir trennen das nicht auf diesem Niveau."

URL dieses Artikels:
https://www.heise.de/-10965464

Links in diesem Artikel:
[1] https://www.cnbc.com/2025/10/31/nvidia-ceo-jensen-huang-says-ai-has-reached-a-virtuous-cycle.html
[2] https://www.heise.de/news/Chatbot-App-von-Apple-Kommt-sie-oder-kommt-sie-nicht-10673260.html
[3] https://www.heise.de/news/Umfrage-Apple-Nutzer-wuerden-fuer-Apple-Intelligence-in-geringem-Umfang-zahlen-10362381.html
[4] https://www.heise.de/news/Foundation-Models-Framework-Apple-zeigt-Dritt-Apps-mit-lokaler-KI-10678775.html
[5] https://www.heise.de/news/Apples-KI-Server-made-in-USA-fertig-10900087.html
[6] https://www.heise.de/news/Dank-iPhone-17-Apple-erwartet-bestes-Weihnachtsquartal-wieder-Umsatzrekord-10965375.html
[7] https://www.heise.de/news/Apple-bestaetigt-Kauf-von-Beats-Music-und-Beats-Electronics-2211057.html
[8] https://www.heise.de/news/Apple-Softwarechef-Kontextsensitive-Siri-war-keine-Vaporware-10440967.html
[9] https://www.heise.de/news/Lange-erwartete-kontextsensitive-Siri-Angeblich-Bedenken-bei-internen-Tests-10778833.html
[10] https://www.heise.de/news/Apple-verliert-nun-auch-KI-Suchechef-erneut-an-Meta-10773770.html
[11] https://www.heise.de/news/Fuer-Suche-in-Safari-Google-zahlte-Apple-2022-wohl-20-Milliarden-US-Dollar-9705490.html
[12] https://www.heise.de/news/Bericht-Werbung-in-Apples-Karten-App-bereits-im-kommenden-Jahr-10900059.html
[13] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[14] https://www.heise.de/mac-and-i
[15] mailto:bsc@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)