Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
Secrets Not Included: Policies
19 Plays2 days ago
Diese Woche bei Secrets not Included geht es um ein Thema, das viele Teams unterschätzen – bis es knallt: Policies.
Ole und Daniel steigen tiefer ein in den Open Policy Agent und zeigen, wie sich wiederkehrende Fehler systematisch verhindern lassen – bevor sie überhaupt ins Repository kommen. Statt immer wieder die gleichen Probleme zu debuggen, geht es darum, Regeln zu definieren, die Qualität, Sicherheit und Konsistenz automatisch durchsetzen.
Von fehlenden Extension-Keys über falsche PHP-Versionen bis hin zu geleakten Credentials oder Lizenzproblemen: Policies greifen genau dort, wo klassische Tests aufhören. Und sie wirken – unabhängig vom Projekt, übergreifend über Code, Docker, Infrastruktur und Pipelines.
Außerdem diskutieren die beiden, warum KI-Agenten ohne klare Leitplanken eher Risiko als Lösung sind – und wie man sie mit Policies wieder in kontrollierbare Bahnen lenkt.
Eine Folge über saubere Prozesse, skalierbare Qualitätssicherung und die unbequeme Wahrheit:
Nicht Tools machen Systeme sicher – sondern konsequent durchgesetzte Regeln.
Wenn du Software entwickelst, Pipelines baust oder Verantwortung für stabile Systeme trägst, solltest du diese Folge hören.
---
Ole ist Gründer der Moselwal Digitalagentur und Beschäftigt sich mit Hyperautomatisierurng (auch mit KI), Sicherheit und CMS.
Daniel ist Geschäftsführer der xebro GmbH und sein Schwerpunkt liegt auf PHP, Symfony, E Commerce, DevOps und AWS.
Recommended
Transcript
Einführung und Bedeutung von Richtlinien
00:00:00
Kai Ole Hartwig
Willkommen zurück zu Secrets Not Included, wieder mit Daniel und Ole hier.
00:00:02
Daniel Langemann
Vielen Dank.
00:00:05
Kai Ole Hartwig
Und in dieser Woche möchten wir mit euch über Policies reden.
00:00:09
Kai Ole Hartwig
Ich glaube, wir haben vor zwei oder drei Wochen das schon mal kurz angeschnitten, dass es da etwas gibt, was man nutzen kann, um ganz verschiedene Systeme abzusichern und zu prüfen, ob bestimmte Voraussetzungen eingehalten sind.
00:00:26
Kai Ole Hartwig
Und jetzt wollen wir diese Woche einfach etwas tiefer damit eingehen, reingehen mit euch.
00:00:33
Kai Ole Hartwig
Und zwar
00:00:35
Kai Ole Hartwig
in ein Tool, das nennt sich Open Policy Agent.
00:00:38
Kai Ole Hartwig
Das ist ein offizielles Projekt der Cloud Native Compute Foundation und nutzt eine eigene Policy Language, die Rego heißt.
Erstellung von Regelsets zur Fehlervermeidung
00:00:48
Kai Ole Hartwig
Rego hatte ich da ja auch schon erwähnt.
00:00:51
Kai Ole Hartwig
Und ja, Daniel, ich glaube, du hattest letztes Mal Fragen dazu.
00:00:56
Daniel Langemann
Ganz viele, ich habe die immer noch.
00:00:57
Kai Ole Hartwig
Ich hoffe, ich habe heute alle Antworten mit, nachdem ich mich auch wieder daran erinnere, wie wir das machen und mit welchem Tool.
00:00:57
Daniel Langemann
Ich muss ehrlich sagen... Oh, das ist schlimm, das kenne ich.
00:00:58
Daniel Langemann
Dieses mit, es ist erledigt, Klick, Häkchen dran und aus dem Gehirn raus.
00:01:12
Kai Ole Hartwig
Ja, und wenn was ist, dann kann man ja nochmal, dann steht es in der Doku, was es war.
00:01:16
Daniel Langemann
Ja, genau.
00:01:17
Kai Ole Hartwig
Hervorragend.
00:01:18
Kai Ole Hartwig
Es ist in der Pipeline drin, in unseren Makefiles überall drin, wird ausgeführt.
00:01:24
Daniel Langemann
Also wir hatten über Policies gesprochen.
00:01:27
Daniel Langemann
Das Grundkonzept oder die Grundidee finde ich sehr interessant, dass man sagt, es gibt gewisse grundsätzliche Regeln.
00:01:35
Daniel Langemann
Fehler machen darf jeder, aber so Fehler zweimal, dreimal, viermal machen wird halt irgendwann peinlich.
00:01:40
Daniel Langemann
Gerade auch beim Kunden und
00:01:42
Daniel Langemann
das ist ja so der Grundgedanke gewesen, warum man angefangen hat zu testen.
00:01:45
Daniel Langemann
Man hat ja dann, oder meistens ist es so in einem Projekt mit, okay, es knallt, es geht irgendwas kaputt.
00:01:45
Kai Ole Hartwig
Mhm.
00:01:50
Daniel Langemann
Ich als Entwickler sage, hm, habe ich nicht gesehen, aber ich baue den Test mit dem Fix zusammen, deploye das.
00:01:57
Daniel Langemann
Jetzt hast du von Policies gesprochen und das erzeugt bei mir natürlich eine Erwartungshaltung, dass ich sagen kann, guck mal, da könnte es etwas geben, wo ich mir Sachen zusammenbaue, Regeln zusammenbaue, auch
00:02:09
Daniel Langemann
jetzt nicht so konkret auf Business-Logik, die ein Projekt betrifft, aber wo man sagen könnte, es gibt immer wiederkehrende Fehler.
00:02:16
Daniel Langemann
Zum Beispiel, das weiß ich nicht, irgendwo Credentials landen, wo sie nicht hingehören, also eine.env-Datei, weil viele mittlerweile Angst haben, die zu committen, weil da jetzt Produktiv-Credentials drin landen oder so.
00:02:22
Kai Ole Hartwig
Und
00:02:30
Daniel Langemann
keine Ahnung, solche Sachen.
00:02:32
Daniel Langemann
Das triggert bei mir so etwas, wo ich sage, man könnte sich da einen Regelsatz aufbauen, um einfach, den man auch gerne teilt.
00:02:37
Daniel Langemann
Also wenn ich mal irgendwann einen habe, teile ich den gerne.
00:02:40
Daniel Langemann
Wo man sagt, das ist so ein Grundsetup mit, die Fehler hat schon mal jemand gemacht oder das ist schon mal schief gegangen.
00:02:46
Daniel Langemann
Ich bin safe, also zumindest was das betrifft, safe.
00:02:49
Kai Ole Hartwig
Ja, ich sag mal jetzt mal, das ist bei uns eine Mischung aus Komfort und es ist nervig, wenn man immer aufs gleiche Knie fällt, ne?
00:02:58
Daniel Langemann
Ist auch ein cooler Spruch, ja.
00:02:58
Kai Ole Hartwig
Also ich sag jetzt mal, wenn ich so an unsere Composer-Regeln denke, schauen wir da zum Beispiel, ist der Package-Key in der Form, wie wir ihn haben wollen oder auch für Typo3-Pakete, ist denn dieser Extension-Key da drin gesetzt?
00:03:14
Kai Ole Hartwig
Ja, ja.
00:03:15
Daniel Langemann
Achso, das ist wichtig für Typo 3.
00:03:16
Daniel Langemann
Das ist doch dann irgendwas mit Null-Pointer.
00:03:17
Kai Ole Hartwig
Ja, sonst kommt das System nicht
Umgang mit sensiblen Informationen und Lizenzkonformität
00:03:19
Kai Ole Hartwig
damit klar.
00:03:19
Kai Ole Hartwig
Wenn dieser Extension Key fehlt, dann findet Typo3 das duft.
00:03:22
Kai Ole Hartwig
Das ist eine Regel, dass er halt da sein muss.
00:03:27
Kai Ole Hartwig
Und bevor man in diese komischen Fehler läuft, die das System dann schmeißt, weil es sagt dann ja nicht, hey, der Extension Key fehlt in dem Paket, das aber sagt, es ist ein Typo3-Paket, sondern du hast dann komische Fehlermeldungen und Seiteneffekte.
00:03:42
Kai Ole Hartwig
zumindest bis zum Zeitpunkt, wo wir diese Regel eingeführt haben, vielleicht ist es jetzt heute anders, nur wir laufen gar nicht mehr in dieses Sky, weil wir jetzt diese Regel da haben, ja, dann stand über mein Haupt, dass ich diesen Fehler wegen der Regel nicht mehr gemacht habe und jetzt ist alles voll super und das sagt mir, da fehlt der Extension Key.
00:03:50
Daniel Langemann
Ja, ja.
00:04:02
Kai Ole Hartwig
Aber ich sage jetzt mal, ich bin ja nicht so lernfähig, immer morgens um vier oder so, wenn ich eine heiße Idee habe und anfange, was zu bauen.
00:04:12
Kai Ole Hartwig
vergessen.
00:04:17
Kai Ole Hartwig
Aber wir haben auch andere Regeln, zum Beispiel, dass die PHP-Version drinnen stehen muss.
00:04:22
Kai Ole Hartwig
Aus dem einfachen Gedanken, wenn wir nämlich Container bauen, schauen wir nämlich nach, hey, in dem Hauptprojekt, welche PHP-Version brauchen wir denn da?
00:04:24
Daniel Langemann
Oder wenn es leer wäre, nicht, ne?
00:04:29
Kai Ole Hartwig
Und das haben wir in der
00:04:30
Kai Ole Hartwig
Composer JSON gepflegt, weil sich dann unser Container quasi automatisch die richtige PHP-Version sieht, beziehungsweise unser Docker Setup halt auch lokal die richtige PHP-Version dann wieder bekommt.
00:04:46
Kai Ole Hartwig
Ja, also es ist halt total simpel, weil du dann halt über Variablen sehr flexibel und sehr zügig unterwegs bist mit dem Standard Setup.
00:04:58
Kai Ole Hartwig
Umso wichtiger ist natürlich, dass bestimmte Voraussetzungen für dich eingehalten sind.
00:05:02
Kai Ole Hartwig
Was wir auch noch machen, ist halt, wir prüfen halt dort Enddateien logischerweise, ob da so etwas drin steht wie Password, Secret, Key.
00:05:12
Daniel Langemann
Aber der...
00:05:13
Kai Ole Hartwig
Und ich glaube noch ein paar andere Dinge, die ich jetzt wieder mal nicht auswendig weiß.
00:05:21
Kai Ole Hartwig
Was steht da?
00:05:22
Kai Ole Hartwig
Ich kann es auf die Entfernung nicht lesen.
00:05:24
Kai Ole Hartwig
Ist zu klein.
00:05:24
Kai Ole Hartwig
Auf jeden Fall auch so Sachen, wenn irgendwo 1, 2, 3, 4 steht als Wert für irgendwas, dann finden wir das auch nicht cool.
00:05:34
Kai Ole Hartwig
Und dann sagen wir, na, sorry, not sorry, hier ist jetzt mal Schluss damit.
00:05:40
Kai Ole Hartwig
weil auch wenn wir.env-Dateien ja grundsätzlich nicht so mögen, haben wir halt trotzdem.env-Dateien.
00:05:43
Daniel Langemann
Ja.
00:05:45
Kai Ole Hartwig
Da sollen halt nur keine Secrets rein.
00:05:48
Kai Ole Hartwig
Die sollen bei uns, wenn sie denn existieren, eine Secrets.env, wo nur verschlüsselte Werte drin sind.
00:05:58
Kai Ole Hartwig
Da, wo wir SOPs einsetzen, ist das quasi der Weg,
00:06:04
Kai Ole Hartwig
Und dann prüfen wir halt entsprechend, sind dann alle Sachen, wo Secrets so von der Benahmung typischerweise drin wären, sind sie denn nur in der Datei und sind dann nur verschlüsselte Werte drin.
00:06:17
Daniel Langemann
Ja, je nachdem, welchen Algorithmus ich habe.
00:06:18
Daniel Langemann
Mhm.
00:06:18
Kai Ole Hartwig
Du kannst ja nicht dann auch wieder sagen, okay, du weißt ja, womit der verschlüsselte String anfangen muss.
00:06:27
Kai Ole Hartwig
Genau.
Nutzung von Open Policy Agent (OPA) zur Richtlinienüberwachung
00:06:28
Kai Ole Hartwig
Und da prüfen wir dann drauf.
00:06:30
Kai Ole Hartwig
Und was wir auch machen,
00:06:33
Kai Ole Hartwig
ist, wir prüfen zum Beispiel, ob Lizenzen eingehalten werden.
00:06:41
Kai Ole Hartwig
Wenn du Open-Source-Pakete einsetzt, musst du natürlich darauf achten, oder solltest du eigentlich darauf achten, dass die Lizenzen, die du einsetzt, kompatibel sind und
00:06:58
Kai Ole Hartwig
dass die Lizenzen, die du in deinem Produkt drin hast, in deiner Plattform drin hast, auch zu dem Zweck passen.
00:07:05
Daniel Langemann
Ja.
00:07:05
Daniel Langemann
Ja.
00:07:09
Kai Ole Hartwig
Wenn du natürlich ein Paket ziehst, wo eine Lizenz drin ist, die sagt, naja, Commercial Use ist nicht erlaubt, erlaubt, wäre das für die meisten Projekte, die wir so haben, nicht unbedingt zuträglich.
00:07:27
Kai Ole Hartwig
um das jetzt vorsichtig auszudrücken.
00:07:30
Kai Ole Hartwig
Also das heißt, wir prüfen zum Beispiel darauf, ist da eine MIT oder Apache 2.0 oder ähnliche Lizenzen, GPL, in der entsprechenden Version drin, damit wir das ohne Probleme einsetzen können.
00:07:44
Kai Ole Hartwig
Und sonst muss man sich halt Alternativen suchen, ehrlicherweise.
00:07:49
Daniel Langemann
Und das geht dann so, dass der automatisch auch neue Pakete oder neue Abhängigkeiten mitprüft?
00:07:55
Kai Ole Hartwig
Ja, das kommt natürlich darauf an, wie du deine Regeln schreibst, ob das dann automatisch so klappt, aber wenn du halt sagst, okay, ich prüfe zum Beispiel die Package-JSON und die Composer-JSON, dann hast du zumindest einen guten Indikator dafür.
00:07:55
Daniel Langemann
Also das...
00:08:04
Daniel Langemann
Mhm.
00:08:10
Kai Ole Hartwig
Eigentlich musst du so Tools benutzen wie SPDX oder ähnliches, Lizenz-Scanner, die tatsächlich Datei für Datei durchgehen.
00:08:22
Kai Ole Hartwig
und da prüfen, was aber auch wieder zur Folge hat, dass du eigentlich in jeder Datei einen entsprechenden Eintrag haben musst oder eine Begleitdatei mit der Lizenz, weil die Lizenzscanner das sonst nicht sauber unterscheiden können und dann kommst du nämlich in das Problem, dass du sehr, sehr viele Unbekannte hast, die du manuell prüfen musst.
00:08:47
Daniel Langemann
Ja, das ist halt keine Hilfe.
00:08:49
Daniel Langemann
Aber das heißt ja eigentlich, dass sozusagen die Leute, die ihre Pakete pflegen und Open Source stellen, in der Composer JSON
00:08:58
Daniel Langemann
hoffentlich alle richtig, die Lizenz eintragen.
00:09:01
Daniel Langemann
Und da würde ich mich auch darauf verlassen.
00:09:02
Kai Ole Hartwig
Ja.
00:09:03
Daniel Langemann
Also erst mal, wenn es da Abweichungen gibt, ja, dann ist das halt, also ist das nicht so.
00:09:08
Daniel Langemann
Ist auch doof, aber mir wird das reichen für den Test, um mich darauf zu verlassen, zu sagen, guck mal, das Paket behauptet selber, es hat diese Lizenz.
00:09:17
Daniel Langemann
Wenn die sich jetzt da umentscheiden oder das irgendwann ändern, dann müssen die das da eintragen.
00:09:21
Daniel Langemann
Und ich denke mal, das werden auch 99 Prozent der Leute machen, wenn sie es nicht vergessen.
00:09:24
Kai Ole Hartwig
Ja, könnte sein, aus Erfahrung mit solchen Compliance-Prüfungen kann ich dir sagen, dass selbst große Open-Source-Pakete dich anlügen und nicht sauber die verwendeten Lizenzen deklarieren.
00:09:34
Daniel Langemann
Echt?
00:09:34
Daniel Langemann
Hm.
00:09:34
Daniel Langemann
Hm.
00:09:34
Daniel Langemann
Hm.
00:09:43
Kai Ole Hartwig
Ja, dann gibt es dann irgendwo eine Binary oder ähnliches, nochmal tief vergraben, die aus einem anderen Paket kommt und eigentlich eine andere Lizenz hat.
00:09:53
Kai Ole Hartwig
Und das kann natürlich dann auf einmal kritisch werden, wenn das dann nicht kompatibel ist.
00:10:00
Kai Ole Hartwig
Ja.
00:10:01
Daniel Langemann
Ja, genau, genau.
00:10:02
Daniel Langemann
Dass die Unterabhängigkeit sagt, dass es nicht kommerziell genutzt werden darf.
00:10:06
Daniel Langemann
Da hat jemand gepennt, hat die eingebunden und du bündest dann, oh Mann.
00:10:10
Daniel Langemann
Ja, ja.
00:10:11
Kai Ole Hartwig
So, und Compliance-rechtlich, ja, für alle Papiertiger da draußen, ist das natürlich ein riesiges Thema und ein Problem ist das auch lizenzrechtlich, ja, rein rechtlich betrachtet ist das natürlich total kritisch und verstößt halt gegen die Lizenzierung und die Bedingungen.
00:10:31
Kai Ole Hartwig
Jetzt sage ich aber im Alltag, wir müssen halt irgendwo die Kirche im Dorf lassen, das heißt, ich muss mich zu einem gewissen Teil darauf verlassen können,
00:10:39
Kai Ole Hartwig
Und mit dieser Regel prüfe ich zumindest mal, ob die Deklaration des Pakets so ist, dass ich davon ausgehen kann, dass alles richtig ist.
00:10:50
Daniel Langemann
Ja.
00:10:51
Kai Ole Hartwig
und muss nicht tausende Dateien, die keine saubere Deklarierung hatten, manuell durchgehen und prüfen.
00:11:01
Kai Ole Hartwig
Das ist dann etwas, das muss dann halt in Projekten speziell geprüft werden und speziell gemacht werden.
00:11:08
Kai Ole Hartwig
Das kann man dann halt nicht vollumfänglich automatisiert machen.
00:11:16
Kai Ole Hartwig
Und das Schöne ist an diesem OPA,
00:11:20
Kai Ole Hartwig
einem Open Policy Agent, dass du halt über die Tools hinweg prüfen kannst.
Einsatz von Pipelines und Regex in Rego
00:11:27
Kai Ole Hartwig
Du kannst halt nicht nur sagen, ich prüfe meine Composer JSON oder meine Package JSON oder jetzt irgendwelche PHP-Dateien, ob da jetzt Lizenzen drinstehen,
00:11:35
Daniel Langemann
Ja.
00:11:35
Daniel Langemann
Alles über 1024.
00:11:38
Kai Ole Hartwig
Sondern du kannst halt auch deine Dockerfiles prüfen, ob da jetzt ein Expose auf 80 stattfindet.
00:11:43
Kai Ole Hartwig
Oder du kannst halt auch Infrastruktur, Terraform-Sachen prüfen, ob da irgendwelche Einträge drin sind, die du nicht haben möchtest.
00:11:51
Kai Ole Hartwig
Wenn du zum Beispiel in einem OpenShift unterwegs bist, dass du nur Highport Expost, also sprich kein 80, kein 443, sondern halt irgendwo, ja,
00:12:06
Kai Ole Hartwig
Und damit kannst du halt sehr effektiv, sehr schnell prüfen, unabhängig von irgendeiner Programmier- oder deklarativen Sprache, die du einsetzt.
00:12:19
Daniel Langemann
Hmm.
00:12:19
Daniel Langemann
Hmm.
00:12:19
Kai Ole Hartwig
sondern halt nur mit Rego als Sprache, die dann halt Policies insgesamt abbildet und dir die Sicherheit gibt, dass du es zum einen natürlich lokal ausführen kannst und prüfen in der Pipeline prüfen kannst und bestimmt auch noch an unterschiedlichen anderen Stellen das als Regeln einsetzt.
00:12:39
Kai Ole Hartwig
sodass du halt auch prüfen kannst, zum Beispiel wird immer vom root-user weggewechselt, ja, habe ich tatsächlich rootless-container, nicht nur mir ausgedacht, sondern sind die auch tatsächlich rootless-dich-einsätze.
00:12:54
Daniel Langemann
Ja.
00:12:56
Kai Ole Hartwig
Hat nicht jemand diese Regel entfernt am Tagesende?
00:12:59
Daniel Langemann
Ja, oder aus Versehen auskommentiert.
00:13:01
Daniel Langemann
Also ich muss ja zugeben, ich schaffe das auch immer wieder beim Entwickeln gerade mit, ich mache da kurz mal was weg und irgendwie zwei oder drei Ablankungen später weiß ich das nicht mehr.
00:13:10
Daniel Langemann
Und dann sind Sachen auskommentiert.
00:13:11
Kai Ole Hartwig
Ja, genau.
00:13:11
Daniel Langemann
Mhm.
00:13:15
Kai Ole Hartwig
Gerade wenn ja die Container, die lokal laufen, die gleichen sind, die in Produktion laufen.
00:13:20
Kai Ole Hartwig
Wovon ich ein großer Fan bin.
00:13:22
Kai Ole Hartwig
So rein Debug-technisch und Fehleranfälligkeitsmäßig finde ich das immer sehr, sehr sympathisch, wenn ich quasi meinen Produktiv-Container habe und dann nochmal obendrauf eine Layer packe für Development mit DevTools.
00:13:38
Kai Ole Hartwig
Ähm, natürlich, wenn du dann den falschen Layer manipulierst oder manipulieren musst, weil irgendwas alles ist ganz seltsam.
00:13:45
Kai Ole Hartwig
Ähm, ja, manchmal ist es ja so, ne?
00:13:49
Daniel Langemann
Ich lache, weil ich das schon bestimmt zehnmal gemacht habe.
00:13:51
Daniel Langemann
Also nicht, weil ich besser bin, sondern weil das genau das ist, was ich auch mache.
00:13:55
Daniel Langemann
Also...
00:13:56
Kai Ole Hartwig
Irgendwie wird, dann muss man doch mal Ruth sein.
00:14:00
Kai Ole Hartwig
Und dann, ne, so.
00:14:01
Kai Ole Hartwig
Ähm.
00:14:03
Kai Ole Hartwig
Und man macht sich dann auch mal einfach Sachen kaputt.
00:14:07
Kai Ole Hartwig
Und damit man das dann halt wenigstens nachher nicht im Endergebnis drin hat im Repo, ist es natürlich total cool, wenn man die Regel hat, die einem sagt, jung, jetzt musst du noch mal ran.
00:14:21
Kai Ole Hartwig
Den Commit nehmen wir jetzt nicht an.
00:14:25
Daniel Langemann
Mm.
00:14:28
Kai Ole Hartwig
Und so sehe ich ja auch die Pipeline immer.
00:14:30
Kai Ole Hartwig
Meine Pipelines laufen ja immer von möglichst schnell und kosteneffektiv zu den teureren.
00:14:36
Kai Ole Hartwig
Also je früher es kaputt geht und sagt, da hast du aber Unfug gemacht.
00:14:43
Kai Ole Hartwig
je besser ist das, je schneller das geht.
00:14:45
Kai Ole Hartwig
Weil wenn am Ende es mir dann sagt, ja, aber jetzt, ich habe alles gebaut und jetzt stelle ich fest, du bist ja, dein Dockerfile ist ja auf einmal mit Hut.
00:14:53
Kai Ole Hartwig
Ja, danke, das wäre ein Fix von einer Sekunde gewesen gefühlt.
00:14:58
Kai Ole Hartwig
Also mach diese Regel mal zuerst und dann für bitte erst die Unit-Tests und so weiter und so fort aus.
00:15:08
Daniel Langemann
Ja, also ich finde das interessant.
00:15:11
Daniel Langemann
Zumindest, dass man, wenn ich es richtig verstanden habe, es gibt unterschiedliche Clients, glaube ich, womit man zum Beispiel auch JSON und andere Sachen lesen kann.
00:15:20
Kai Ole Hartwig
Ja, ich weiß nicht, ob das jetzt Client heißt, aber ja, es gibt, ja.
00:15:21
Daniel Langemann
Und dann...
00:15:25
Daniel Langemann
ich habe es gerade so genannt, also Implementierung, keine Ahnung, was es ist.
00:15:29
Daniel Langemann
Also die Möglichkeit, JSON-Dateien zu lesen oder JSON zu lesen und da auch darauf zu antworten oder beziehungsweise zu testen.
00:15:38
Daniel Langemann
Aber das basiert alles darauf, dass ich Regex eigentlich schreibe und sage, das ist das Ergebnis, ein Result-Set, wie auch immer, und darauf teste ich dann ein Regex.
00:15:48
Kai Ole Hartwig
Ja, nicht immer direkt ein komplettes Regex.
00:15:51
Kai Ole Hartwig
Du hast auch so Sachen, wo du sagen kannst, okay, jetzt der Anfang muss sein oder das Ende muss sein oder etwas muss lowercase sein oder uppercase und so.
00:16:04
Kai Ole Hartwig
Aber du kannst natürlich auch immer sagen, okay, Regex match und dann schreib dein Regex tag ein.
00:16:12
Daniel Langemann
Also man kann es entweder lesbar machen oder mit Regex machen.
00:16:18
Kai Ole Hartwig
Was war denn jetzt das Rek-Ax-Bashing?
00:16:21
Kai Ole Hartwig
Also ich mag Rek-Ax, also Rek-Ax hat mir echt schon manchen Tag gerettet.
00:16:27
Daniel Langemann
Und zehn Minuten später wusste ich nicht, was ich geschrieben habe.
00:16:29
Daniel Langemann
Ja.
00:16:29
Daniel Langemann
Ja, genau.
00:16:29
Daniel Langemann
Ja.
00:16:32
Kai Ole Hartwig
Also wer es nicht kennt, Rek-Ax 101...
00:16:35
Kai Ole Hartwig
die Seite für Regex schreiben.
00:16:38
Kai Ole Hartwig
Ja, natürlich.
00:16:39
Kai Ole Hartwig
Manchmal verbringt man da zwei Stunden oder zumindest früher mal zwei Stunden, um das Regex, das beste Regex der Welt zu schreiben.
00:16:49
Kai Ole Hartwig
Dass man nach der Mittagspause auch, keine Ahnung, aber es funktionierte.
00:16:52
Kai Ole Hartwig
Ja, aber das ist halt bei Regex so.
00:17:00
Kai Ole Hartwig
Es ist
00:17:01
Daniel Langemann
Es ist super mächtig.
00:17:02
Daniel Langemann
Ich mag es sehr und ich kenne meine Schwäche.
00:17:07
Daniel Langemann
Ich übertreibe es gerne damit.
00:17:08
Daniel Langemann
Deswegen lache ich gerne darüber, dass man es entweder lesbar hat oder in Regex, weil irgendwann wird es einfach unlesbar.
00:17:15
Daniel Langemann
Wenn man das auseinandergefilmt hat, ist es aber super hilfreich manchmal, was man da unterbringen kann.
00:17:20
Kai Ole Hartwig
Ja, natürlich.
00:17:21
Kai Ole Hartwig
Aber du kannst in Rego nicht nur Regex nutzen.
Allgemeine Vorteile von Richtlinien und Projektmanagement
00:17:24
Kai Ole Hartwig
Du kannst auch so Sachen sagen wie Not is empty und so.
00:17:27
Kai Ole Hartwig
Also ganz leserlich und einfach starten mit Regeln, schön immer in einzelner Dateien strukturieren.
00:17:38
Daniel Langemann
Aber das Grundkonzept, wenn ich das richtig verstehe, ist es, ich schreibe eine Reko-Datei, wo ich Annahmen treffe und sage, ich möchte, dass etwas Text enthält, nicht enthält, so formatiert ist, groß, kleinschreibt, also irgendwelche Regeln, kann dann sagen, das soll in dieser, dieser oder dieser Datei sein oder passieren oder enthalten sein.
00:17:51
Kai Ole Hartwig
Ja.
00:17:51
Kai Ole Hartwig
Ja.
00:17:51
Kai Ole Hartwig
Mehr Magie ist das gar nicht.
00:17:51
Kai Ole Hartwig
Also...
00:17:58
Daniel Langemann
Und das war's.
00:17:59
Daniel Langemann
Oder, also, dafür,
00:18:04
Daniel Langemann
Das ist viel zu einfach.
00:18:05
Daniel Langemann
Kann das nicht mehr Magie sein?
00:18:06
Daniel Langemann
Mhm.
00:18:09
Kai Ole Hartwig
Ich glaube, du kannst es auch auf unterschiedlichen Umgebungen ausführen.
00:18:12
Kai Ole Hartwig
Das machen wir jetzt zum Beispiel nicht.
00:18:14
Kai Ole Hartwig
Da kann ich jetzt nicht so richtig weiterhelfen.
00:18:16
Kai Ole Hartwig
Ich weiß, dass es auch in Kubernetes und Istio und so weiter läuft.
00:18:22
Kai Ole Hartwig
Und da bestimmt auch noch super fancy Sachen macht, die wir jetzt nicht so im Einsatz haben.
00:18:30
Kai Ole Hartwig
Aber wie es immer ist, irgendwo fängt man an, dann entdeckt man mehr Use Cases dafür, dann verwendet man das auf anderen Stellen.
00:18:36
Kai Ole Hartwig
Wir prüfen zum Beispiel auch, ob unsere Pipeline-Components entsprechend geschrieben sind und so Sachen, dass da bestimmte Sachen einfach drin sind.
00:18:53
Kai Ole Hartwig
Ich sage ja, man entdeckt halt immer mehr Möglichkeiten, wo man es einsetzen kann.
00:18:57
Kai Ole Hartwig
Je häufiger man irgendwo aufs Knie fällt und sagt, ach, das war jetzt aber mal wieder so ein richtig dummer Fehler, der überflüssig ist.
00:19:04
Kai Ole Hartwig
Ja.
00:19:06
Daniel Langemann
Ja genau, also dieses Projektunabhängige gefällt mir sehr.
00:19:09
Daniel Langemann
Also dass man, ne, weil alles was mit Tests, Unitests, Applikation, also alles was irgendwie testbar ist, ist immer projektspezifisch.
00:19:17
Daniel Langemann
das kann man schwer mitnehmen, sage ich mal, wo man sagt, das ist und oder unternehmensweit einführen für, ne, wenn du eine Agentur hast oder irgendwo ein großes Unternehmen und zig Projekte hast, kannst du ja schlecht irgendwie Unit-Tests von A nach B kopieren, also gibt es bestimmt auch, ne, dass du sich ein Test hier bildet.
00:19:33
Kai Ole Hartwig
ja, da sind die Unit-Tests halt auch das falsche Mittel.
00:19:35
Kai Ole Hartwig
Die Unit-Tests oder viele Testing-Sachen sind ja, ich sag mal, paketspezifisch.
00:19:44
Kai Ole Hartwig
Und damit kannst du halt ein allgemeines Set an Policies, an Regeln haben und verwenden.
00:19:51
Kai Ole Hartwig
Und das finde ich mega gut.
00:19:53
Kai Ole Hartwig
Das bedeutet halt, ich kann halt immer sagen, okay, pass auf, meine Enddatei, so, das möchte ich halt haben.
00:19:59
Daniel Langemann
Kannst du mal wieder auf die Finger hauen.
00:19:59
Kai Ole Hartwig
Und das Schöne ist,
00:20:01
Kai Ole Hartwig
damit erwischst du natürlich auch deinen KI-Agenten am Tagesende wieder, wenn er Schmuh macht.
00:20:06
Kai Ole Hartwig
Ja, der vergisst natürlich gerne, QS-Tools auszuführen zum Beispiel.
00:20:13
Kai Ole Hartwig
Ja, PHP-Stand, keine Ahnung, findet der mega ätzend, weil der natürlich immer die Fehler direkt aufdeckt.
00:20:19
Kai Ole Hartwig
Bei mir fängt der auch gerne an, dann zu meckern und zu sagen, ne, ne, ne, da sind schon wieder Fehler, aber die waren vorher schon da, das war ich gar nicht.
00:20:25
Daniel Langemann
Ja, ja, genau.
00:20:26
Daniel Langemann
Wie so ein Fünfjähriger, das war ich nicht.
00:20:27
Daniel Langemann
Mhm.
00:20:30
Kai Ole Hartwig
Ja, so, und das ist natürlich immer so mega ätzend.
00:20:35
Kai Ole Hartwig
Also, ganz ehrlich, ich erwarte, wenn ich der KI sage, hey, fix jetzt mal diese Fehler, da bitte mich interessiert diese Ausrede nicht mit, nee, die gab es schon vorher, mich interessiert nur, dass die Fehler weg sind.
00:20:45
Kai Ole Hartwig
Und wenn ich ein Tool habe, das halt blockiert und sagt, hier, da ist was falsch, dann kann die KI halt auch direkt darauf reagieren, indem ich sage, ja, jetzt, schau mal, wir haben das jetzt ausgeführt, das Tool, was du nicht machen wolltest.
00:20:56
Kai Ole Hartwig
Und die QS sagt jetzt halt, ist scheiße.
00:21:01
Daniel Langemann
Hmm.
00:21:01
Daniel Langemann
Hmm.
00:21:01
Kai Ole Hartwig
Jetzt beheb mal die Fehler, die hier drin stehen.
00:21:04
Kai Ole Hartwig
Ist mir egal, dass du sagst, du hast sie nicht gemacht, interessiert mich alles nicht, beheb einfach nur die Fehler.
00:21:11
Kai Ole Hartwig
Das ist ja genauso mit überall.
00:21:13
Kai Ole Hartwig
Ich sage jetzt mal, mich interessiert nie, wer einen Fehler gemacht hat oder wie dieser Fehler entstanden ist, sondern mich interessiert immer am Tagesende die Lösung und dass wir einen Fehler nicht häufiger machen.
00:21:26
Kai Ole Hartwig
Ja, wenn man jetzt einen Fehler zweimal gemacht hat, spätestens dann sollte man sich überlegen, wie stellen wir denn ab, dass es den wieder gibt.
00:21:34
Daniel Langemann
Ich habe auch keine Lust, einfach mehrfach zu erklären, dass es immer das Gleiche war.
00:21:37
Daniel Langemann
Tut mir leid, ich habe wieder nicht aufgepasst, das.
00:21:39
Kai Ole Hartwig
Ja, sorry, ich hatte noch nicht genug Kaffee.
00:21:40
Daniel Langemann
Hasse ich, wie die Pest, so etwas zu sagen.
00:21:43
Daniel Langemann
Ja, genau.
00:21:44
Daniel Langemann
Und also auf der anderen Seite, E-Commerce-Kontext zum Beispiel, kannst du den Kunden auch nicht erklären, dass alle drei Tage irgendwie das System weg ist, wenn die irgendwas auf ihre Wunschliste packen oder irgendwie eine komische Klickreinfolge nutzen und damit den Shop kaputt machen oder so, weil dann irgendwelche Abhängigkeiten in Datenbanken kaputt gehen.
00:22:00
Daniel Langemann
Ja.
00:22:01
Kai Ole Hartwig
Ja, oder dass ein Jobimport einfach mal zwei Wochen nicht funktioniert, weil man wieder mal was versemmelt hat oder dass Kontaktformulare nicht funktionieren oder Newsletter oder so, weil halt wieder irgendein, wenn man wieder den gleichen Fehler drin hatte oder einfach wieder auch Daten nicht richtig rübergekommen sind.
00:22:06
Daniel Langemann
Hmm.
00:22:06
Daniel Langemann
Hmm.
00:22:20
Kai Ole Hartwig
Das kannst du jetzt nicht damit validieren, aber dafür, das kann man ja auch abfangen, wenn man das erkennt.
00:22:26
Daniel Langemann
Ja, aber das ist ja auch wieder ein Baustein für das ganze Paket, sage ich mal.
00:22:26
Kai Ole Hartwig
Und
00:22:32
Daniel Langemann
Genauso wie Unit-Tests, Applikationstests oder Integrationstests und Applikationstests ihre Berechtigung und ganz andere Ziele haben, finde ich das mit den Policies gar nicht mal falsch, weil das ist halt wieder ein Teil, den die anderen drei jetzt nicht abdecken, wo du sagen kannst, das ist halt wieder ein Stückchen besser.
00:22:48
Kai Ole Hartwig
Und ich finde, es ist halt auch eigentlich eine mega hilfreiche Policy und ich finde es immer peinlich, wenn andere Dienstleister das nicht auf die Kette kriegen, wenn sie Sachen übernehmen.
00:22:54
Daniel Langemann
Am besten so im CC-Benz.
00:22:59
Kai Ole Hartwig
dass dann mal keine alten E-Mail-Adressen da mehr drinstehen.
00:23:05
Kai Ole Hartwig
Ja, weil ich kann ja super leicht darauf filtern, ist diese Domain jetzt in einem Kontext eines Kommentars oder ist das eine scharfe Adresse, wo Sachen hingeschickt werden.
00:23:20
Kai Ole Hartwig
Das ist nämlich immer total cool, finde ich, wenn dann ein Dienstleister was übernimmt, man Sachen abgibt, whatever.
00:23:24
Daniel Langemann
Vielen Dank.
00:23:27
Kai Ole Hartwig
Und dann bekommt man auf einmal Monate später tausende Fehler-E-Mails von einem System geschickt, weil mal wieder jemand vercheckt hat, ganz einfach diese Konfiguration zu ändern.
00:23:41
Kai Ole Hartwig
Oder auch so was wie so ein Sentry, dann auf einmal Fehlermeldungen von so einem URL-System auf einmal geschickt bekommt oder error-tracking in GitLab, weil man einfach diese Einträge nicht ändert.
00:23:54
Daniel Langemann
Ja.
00:23:56
Kai Ole Hartwig
Und wir haben zum Beispiel auch dann halt Regeln, die prüfen, jetzt sind alle scharfen E-Mail-Adressen denn von uns.
00:24:11
Kai Ole Hartwig
So, ja.
00:24:12
Kai Ole Hartwig
Und gibt es so was wie diese DSN, wo Fehler hingeschickt werden?
00:24:18
Kai Ole Hartwig
Und wenn ja, stimmt denn die Domain mit der erwarteten Domain überein?
00:24:24
Daniel Langemann
Ja, das ist natürlich geil, wenn du eine Agentur hast und dann kannst du sowas mitnehmen und dann, wenn du ein neues Projekt mitnimmst, lässt du es einfach drüber laufen und da muss sich kein Entwickler wieder drei Stunden hinsetzen und per Grab irgendwie sich dadurch einen frischen Quelltext begraben.
00:24:36
Daniel Langemann
Das
00:24:37
Kai Ole Hartwig
Ja, so.
00:24:39
Kai Ole Hartwig
Also, macht dich halt als neuen Dienstleister total glücklich.
Herausforderungen bei modernen Tools und KI-Einsatz
00:24:43
Kai Ole Hartwig
Ja, weil, weil halt du auch professioneller auftreten kannst und nicht irgendwie der alte Dienstleister da ständig ankommt und sagt, ey, Freunde, ihr schickt uns immer noch Fehlermeldungen, was soll der Scheiß?
00:24:44
Daniel Langemann
spart Zeit.
00:24:55
Daniel Langemann
Mhm.
00:24:55
Daniel Langemann
Mhm.
00:24:56
Kai Ole Hartwig
Na?
00:25:00
Kai Ole Hartwig
Und du stellst halt auch sicher, dass du halt direkt alles bekommst.
00:25:05
Kai Ole Hartwig
Wie fantastisch ist das denn, wenn du quasi deinem Kunden zeigst, hey, ich kann das auch, was ich tue?
00:25:14
Kai Ole Hartwig
Ja, so, aber aus der Erfahrung heraus kann ich sagen, das ist nicht die Masche, die alle Dienstleister fahren.
00:25:21
Daniel Langemann
Das ist natürlich schade, weil alleine die Zeit, die du dir sparst mit solchen Sachen.
00:25:25
Daniel Langemann
Also ich denke mal, der erste Wurf wird gar nicht so besonders sein, wenn man mit sowas anfängt, aber ich glaube, über die Jahre oder über das Jahr, dass man da echt ein gutes Regelset aufgebaut bekommt.
00:25:38
Kai Ole Hartwig
Ja, und du musst es halt nicht direkt in LMM schmeißen, also du musst es nicht in die KI schmeißen, sondern du kannst halt echt Low-Level mit wenig Energieeinsatz sehr, sehr viel erreichen.
00:25:39
Daniel Langemann
Hängt halt ein bisschen davon... Hm.
00:25:49
Kai Ole Hartwig
Klar, die KI kannst du nutzen, um dir fremden Quellcode erklären zu lassen und so weiter und so fort.
00:25:49
Daniel Langemann
Ja.
00:25:49
Daniel Langemann
Ja.
00:25:54
Kai Ole Hartwig
Da kannst du auch sicherlich sagen, sind da irgendwelche E-Mail-Adressen noch drin geschenkt?
00:25:58
Kai Ole Hartwig
Das geht alles.
00:25:59
Kai Ole Hartwig
Ja, wer KI dafür nutzen will, go for it.
00:26:02
Kai Ole Hartwig
Das ist halt quasi die umweltfreundliche Alternative.
00:26:06
Daniel Langemann
Green Coding, ja.
00:26:09
Kai Ole Hartwig
Ja, man könnte ja darüber nachdenken, dass es cool ist, wenig Energie für so Aufgaben einzusetzen.
00:26:16
Daniel Langemann
Ich würde einfach nicht so viele Tokens verschwenden wollen dafür.
00:26:18
Daniel Langemann
Ich verbrauche die für andere Sachen.
00:26:21
Daniel Langemann
Also das ist in meinen Augen verschwendet, weil für andere Sachen sind sie definitiv sinnvoller eingesetzt einfach.
00:26:21
Kai Ole Hartwig
Ja, natürlich, aber auch das
00:26:26
Daniel Langemann
Und gerade wenn andere in Tropic und so anfangen, die zu beschränken und versuchen, so die außerhalb der Zeiten dich zu motivieren, die Modelle zu nutzen, dann merkst du schon, wo die Reise hingehen wird in Zukunft.
00:26:39
Kai Ole Hartwig
ja immer schon zwischen Mitternacht und 6 Uhr arbeiten.
00:26:41
Daniel Langemann
Mhm.
00:26:43
Daniel Langemann
Da merkst du, wo die Reise in Zukunft hingehen wird.
00:26:45
Daniel Langemann
Also das ist natürlich, dass die Token, die müssen entweder besser werden, die Modelle, dass das günstiger für Entropic und andere wird, oder es wird teurer.
00:26:55
Kai Ole Hartwig
Nee, die Frage ist halt, möchte man nicht eh auf ganz andere Modelle wechseln, ne?
00:26:55
Daniel Langemann
Und bei weitem ist Geld.
00:26:57
Daniel Langemann
Mhm.
00:27:01
Kai Ole Hartwig
So ein Modell, das ich gerade teste, schleifen wir total ab, aber macht nix.
00:27:05
Kai Ole Hartwig
Das ist Gamma 4.
00:27:07
Kai Ole Hartwig
Ja, ich finde, das ist extrem vielversprechend und ich bin auch immer noch ein großer Fan von DevStral, von europäischen Modellen allgemein.
00:27:15
Daniel Langemann
Hoffentlich.
00:27:17
Kai Ole Hartwig
Ich finde, der Unterschied ist nicht so groß, dass man jetzt sagen müsste, ich muss unbedingt Cloud Code nutzen.
00:27:29
Daniel Langemann
Ich muss zugeben, ich habe sie noch nicht ausgiebig genutzt.
00:27:32
Daniel Langemann
Also, weil wäre interessant, wie du das aufgesetzt hast.
00:27:37
Daniel Langemann
Also, ich habe jetzt zum Beispiel ein MacBook.
00:27:42
Daniel Langemann
Ich müsste mir was Größeres mit mehr Arbeitsspeicher kaufen.
00:27:44
Daniel Langemann
Ich habe zwar so eine kleine Datenkrücke, nenne ich sie immer, aber die hat weniger Arbeitsspeicher als mein MacBook, weil die einfach nur besseres Nass ist.
00:27:52
Kai Ole Hartwig
Ich habe halt auch ein altes MacBook, das so M1-Chip und da probiere ich dann halt Sachen drauf aus, ne?
00:27:54
Daniel Langemann
Mhm.
00:28:00
Kai Ole Hartwig
Der hebt dann, also, ne, das fungiert auch gleichzeitig als Heizung.
00:28:07
Daniel Langemann
Also ich hatte es einmal ausprobiert und ich war überrascht, dass mein MacBook einen Lüfter hat.
00:28:11
Daniel Langemann
Ich hatte den vorher noch nicht gehört.
00:28:12
Daniel Langemann
Griffheizung für Motorradfahrer, für Entwickler, ja.
00:28:12
Kai Ole Hartwig
Ja, iMacs haben auch Lüfter, habe ich dabei rausgefunden.
00:28:15
Kai Ole Hartwig
Ähm.
00:28:19
Kai Ole Hartwig
Bei Amex ist es eigentlich ganz praktisch.
00:28:21
Kai Ole Hartwig
Dann hast du so einen warmen Luftfilm auf den Händen.
00:28:24
Kai Ole Hartwig
Das ist eigentlich ganz angenehm.
00:28:27
Kai Ole Hartwig
Also, im Winter ist das... Ja, ja.
00:28:34
Kai Ole Hartwig
Tatsächlich finde ich, die Modelle werden ja auch kleiner und leistungsstärker.
00:28:39
Daniel Langemann
Mm.
00:28:40
Kai Ole Hartwig
Und du merkst, oder ich merke in vielen Aufgaben keinen signifikanten Unterschied.
00:28:49
Kai Ole Hartwig
Also die Code-Qualität kann bei Cloud genauso daneben liegen wie bei DevStraw.
00:28:56
Kai Ole Hartwig
Und je nachdem, was ich mache, merkst du halt den Unterschied nicht.
00:29:00
Kai Ole Hartwig
Wenn du gerade so ganz neue Pakete nimmst und Sprachversion und Paketversion, da ist kein Unterschied in der Qualität.
00:29:09
Kai Ole Hartwig
Die ist gleich schlecht übrigens bei allen.
00:29:11
Kai Ole Hartwig
Ja.
00:29:11
Daniel Langemann
Ja, oder du brauchst die gleichen Voraussetzungen, glaube ich, dafür.
00:29:18
Daniel Langemann
Nicht viel, aber du brauchst Tooling drumherum, um gewisse Sachen festzulegen, so ein bisschen die Leitplanken zu definieren und dann viel auf die Finger kloppen, damit PHP-Stand doch ausgeführt wird und nicht ignoriert wird.
00:29:33
Daniel Langemann
Bei mir war sie immer sehr kreativ und meinte so, ich kann das nicht lösen, der Test ist falsch, ich muss den Test anpassen.
00:29:40
Daniel Langemann
Ich habe immer gedacht, nein, der ist genau richtig.
00:29:41
Daniel Langemann
Lass ihn so.
00:29:42
Daniel Langemann
Hm.
00:29:44
Kai Ole Hartwig
Ja, also, es gibt ja auch die Möglichkeiten, Hoax-Plugins und so weiter einzubinden und da die Systeme in die richtige Richtung zu zwingen.
00:29:58
Kai Ole Hartwig
Alles tausend Möglichkeiten.
00:30:00
Kai Ole Hartwig
So ist es ja nun nicht, dass man das jetzt nicht machen könnte.
00:30:04
Kai Ole Hartwig
Aber das Kernergebnis, ja, ich sag mal, das, was beim ersten Durchlauf rausfällt, ähm,
00:30:13
Kai Ole Hartwig
Da wäre es ja schön, wenn schon möglichst hohe Qualität da ist.
00:30:18
Kai Ole Hartwig
Dass sich das an so Kleinigkeiten erinnert wie in, naja, schau mal, in der Paketversion, da gibt es diese Funktion einfach gar nicht mehr.
00:30:32
Kai Ole Hartwig
Weil, klar, wenn er dann sagt, ah, ich linde jetzt das PHP, da ist kein Fehler drin und so weiter und so fort, dann landet er irgendwann bei PHPStan und PHPStan sagt, das ist aber Unfug.
00:30:36
Daniel Langemann
Hmm.
00:30:44
Kai Ole Hartwig
Ja, dann hat man das natürlich verhindert und abgefangen.
00:30:47
Kai Ole Hartwig
Aber wäre ja schlau, wenn sich die KI einfach so sagt, okay, ich habe jetzt diese Dependency gelesen, ich habe sie verstanden und jetzt setze ich sie auch vollständig so ein und nicht sage, ah, in meinen Trainingsdaten, da gab es aber das.
00:31:02
Kai Ole Hartwig
Ja, genau.
00:31:03
Daniel Langemann
die sind halt nicht aktuell.
00:31:04
Daniel Langemann
Und das merkt man.
00:31:05
Daniel Langemann
Also wenn man an zu neuen Versionen dran ist, sind Sachen einfach nicht da.
00:31:09
Daniel Langemann
Die Trainingsdaten sind nicht aktuell.
00:31:13
Daniel Langemann
Das ist nicht hilfreich.
00:31:15
Daniel Langemann
Aber grundlegend ist es ja auch so, man sollte KI ja eigentlich nicht dafür nutzen,
00:31:22
Daniel Langemann
Sachen zu generieren, weil sie nicht deterministisch ist, sondern maximal dazu nutzen, sich Tools und Programme zu bauen, die deterministisch sind.
00:31:32
Daniel Langemann
Also bei uns beim Programmieren ist es nochmal etwas besonders.
00:31:35
Daniel Langemann
Aber so mein Lieblingsbeispiel ist immer, du kannst der KI sagen, bitte rechne mir mal diese Excel-Tabelle aus.
00:31:41
Daniel Langemann
Oder kannst dir sagen, bauen wir ein Python-Script, was alle Excel-Tabellen aus diesem Ordner nimmt und daraus Summen bildet.
00:31:48
Kai Ole Hartwig
Ja, definitiv.
00:31:49
Daniel Langemann
Und der gleiche Gedanke ist ja beim Programmieren auch so ein bisschen.
00:31:52
Daniel Langemann
Dieses, wenn ich sage, mach das mal oder grade das mal ab, dann funktioniert das nicht so.
00:31:57
Daniel Langemann
Wenn du aber sagst, ich habe Rektor im Projekt und ich möchte diese Sachen machen, gibt es da Regeln für?
00:32:02
Daniel Langemann
Dann spuckt die dir ganz schnell Sachen aus oder hilft dir zum Beispiel auch Custom-Regeln zu bauen, um dann Rektor über das Projekt laufen zu lassen.
00:32:09
Daniel Langemann
Also... Hm...
00:32:11
Kai Ole Hartwig
Also das ist immer die Frage, welchen Weg geht man und wie sagt man es?
00:32:15
Kai Ole Hartwig
Also es ist
00:32:16
Kai Ole Hartwig
Vibe Coding, oder es ist Agentic Engineering.
00:32:20
Kai Ole Hartwig
Und was ich ganz cool finde bei Mistral, ich habe es ehrlicherweise noch nicht ausprobiert, komplett ist, aber kannst du auch einfach für deine Cloud Feintuning der Modelle machen.
00:32:20
Daniel Langemann
Das hört sich wieder klug an.
00:32:21
Daniel Langemann
Hm.
00:32:21
Daniel Langemann
Hm.
00:32:33
Kai Ole Hartwig
Wenn du halt weißt, ich nutze jetzt die PHP 8 und ich sage jetzt mal Typo 3 14, also 14.2, dann kannst du das Feintuning auf das Modell machen damit.
00:32:46
Kai Ole Hartwig
Und dann kennt das Modell das und dann sind deine Ergebnisse direkt anders.
00:32:50
Daniel Langemann
Das ist ein Thema, ich glaube, da müssen wir mal wieder eine eigene Folge drüber machen.
00:32:55
Kai Ole Hartwig
Naja, bisher habe ich Feintuning auch nur lokal gemacht.
00:32:55
Daniel Langemann
Live-Coding, oh mein Gott.
00:33:01
Kai Ole Hartwig
Also, aber ja, eine eigene Folge ist eine gute Idee.
00:33:05
Kai Ole Hartwig
Da können wir dann auch zwei, drei Tage drüber reden.
00:33:08
Kai Ole Hartwig
Wir machen das dann als Livestream bei YouTube direkt oder so.
00:33:16
Daniel Langemann
Aber das muss FSK 18 sein.
00:33:17
Daniel Langemann
Also die Schimpfwörter, die da fliegen.
00:33:19
Daniel Langemann
Mhm.
00:33:25
Kai Ole Hartwig
Aber das ist tatsächlich ein sehr großes Thema.
00:33:27
Kai Ole Hartwig
Wie geht man damit gut um?
00:33:29
Kai Ole Hartwig
Was kann man machen?
00:33:31
Kai Ole Hartwig
Vielleicht machen wir dafür wirklich mal ein paar eigene Sessions.
00:33:34
Kai Ole Hartwig
Das entwickelt sich ja auch ständig weiter.
00:33:36
Kai Ole Hartwig
Was ich heute sage, ist morgen ja schon wieder veraltet.
00:33:38
Kai Ole Hartwig
Ja.
00:33:38
Daniel Langemann
Ja, aber auch die Idee, die wir vorhin hatten mit Agent im Docker-Container und Zugriff reduzieren, das will ich mir nachher mal angucken oder würde ich gerne mal weiter ausprobieren.
00:33:48
Daniel Langemann
Vielleicht hat man da etwas, worüber man auch noch erzählen kann.
00:33:50
Daniel Langemann
Und dann passt das ja sehr gut zusammen, weil wenn du das im Docker-Container hast, kannst du den auch deployen zum Beispiel oder auch feintunen auf deine besonderen Anforderungen.
Technische Überlegungen bei Container- und KI-Nutzung
00:34:00
Kai Ole Hartwig
Ja, wobei Feintuning im Docker-Container ist, glaube ich, keine gute Idee.
00:34:06
Daniel Langemann
Also mache ich es, ja.
00:34:08
Kai Ole Hartwig
Was auch keine gute Idee ist, kann ich dir schon verraten, dem Container keinen Zugriff aufs Internet zu geben.
00:34:14
Kai Ole Hartwig
Weil dann kann er auch so Dinge wie Context 7 nicht abrufen.
00:34:17
Kai Ole Hartwig
Das macht dann Ergebnisse noch schlechter.
00:34:24
Kai Ole Hartwig
Ja, also das ist ja gerade die Krux mit den Tools.
00:34:29
Kai Ole Hartwig
Du musst denen halt irgendwie dafür, dass sie gut funktionieren, musst du ihnen halt viele Rechte geben, wie bei so einem echten Entwickler.
00:34:36
Kai Ole Hartwig
Wenn du einen echten Entwickler ohne Internet irgendwo einsperrst, dann werden die wenigsten in kurzer Zeit richtig gute Ergebnisse produzieren.
00:34:47
Kai Ole Hartwig
Ja, wir schreiben halt alle nicht wie früher den Code auf Papier oder so und überlegen uns vorher, welche Fehler passieren, sondern wir sind ja sehr, wir machen mal und schauen mal getrieben und wir schauen mal nach.
00:34:59
Kai Ole Hartwig
Das ist ja nicht mehr wie bei der letzten Mondlandung.
00:35:02
Daniel Langemann
Ja, du kannst auch nicht alles wissen.
00:35:05
Daniel Langemann
und.
00:35:09
Kai Ole Hartwig
So, und wir machen keine Raketenwissenschaft.
00:35:13
Kai Ole Hartwig
Sagt auch Outlook, das zum Mond fliegt.
00:35:13
Daniel Langemann
Aber manchmal machen wir daraus eine.
00:35:19
Kai Ole Hartwig
Oder das MPM-Paket, das auch das Dashboard für SpaceX ist.
00:35:27
Kai Ole Hartwig
Aber es läuft sogar in Chrome, wenn ich mich richtig erinnere.
00:35:29
Kai Ole Hartwig
Ja.
00:35:31
Daniel Langemann
Jungs, warum musstet ihr zwei Gigabyte Note-Modules deployen?
00:35:34
Daniel Langemann
Wir brauchten nur ein Dashboard.
00:35:35
Daniel Langemann
Hm.
00:35:37
Kai Ole Hartwig
Aber es ist ja tatsächlich jetzt...
00:35:43
Kai Ole Hartwig
ist es ja fast schon wirklich egal geworden, weil einfach die Speichermengen so verfügbar sind heute und auch die Datenübertragungsmengen.
00:35:51
Kai Ole Hartwig
Also ich meine, wir können gerade von der aktuellen Mondmission HD YouTube Livestreaming sehen.
00:35:58
Kai Ole Hartwig
Ja, weil einfach mit einem fucking Laserstrahl die Daten übertragen werden.
00:36:04
Kai Ole Hartwig
Mein Sohn hat dazu gestern Abend so schön gesagt, Glasfaser im Weltraum.
00:36:08
Kai Ole Hartwig
Ich
00:36:10
Daniel Langemann
Das ist echt geil beschrieben.
00:36:11
Daniel Langemann
Mhm.
00:36:12
Kai Ole Hartwig
Ja.
00:36:12
Kai Ole Hartwig
So, ich fand, das war die treffendste Beschreibung für das, was da eigentlich gerade gemacht wird, so ein bisschen.
00:36:20
Kai Ole Hartwig
Und überleg mal, wir bekommen es nicht mal hin, Glasfaser im Boden hier auf der Erde zu verwenden in Deutschland, flächendeckend, aber wir schicken 4K-Videos durchs Weltall als Livestream.
00:36:36
Daniel Langemann
Also ich muss da jetzt die Telekom bashen.
00:36:39
Daniel Langemann
Stefanie, die hätten Probleme.
00:36:41
Daniel Langemann
Techniker kommt zwischen 8 und 18 Uhr, um das Kabel anzuschließen.
00:36:43
Kai Ole Hartwig
Ja.
00:36:45
Daniel Langemann
Peace.
00:36:45
Daniel Langemann
Wir mögen auch die Telekom.
00:36:46
Daniel Langemann
Also wenn wir gesponsert werden.
00:36:50
Kai Ole Hartwig
Ja, ja.
00:36:57
Kai Ole Hartwig
Unfassbar.
Abschluss und Aufruf zum Abonnieren
00:37:01
Kai Ole Hartwig
Gut.
00:37:01
Kai Ole Hartwig
Ich glaube, dann...
00:37:04
Kai Ole Hartwig
war es diese Woche eine wunderbare Secrets Not Included Folge mit Glasfasern-Weltalp-Policies und KI-Modellen, die vielleicht im Container laufen.
00:37:18
Daniel Langemann
Sehr kreativ waren wir ja.
00:37:18
Daniel Langemann
Bis dann, ciao.
00:37:20
Kai Ole Hartwig
Ja, hervorragend.
00:37:21
Kai Ole Hartwig
Dann sehen wir uns nächste Woche wieder mit einer noch viel besseren, neuen Folge Secrets Not Included.
00:37:28
Kai Ole Hartwig
Wenn ihr die nicht verpassen wollt, folgt uns, teilt es, gebt uns einen Daumen hoch, 5 Sterne oder whatever.
00:37:37
Kai Ole Hartwig
Und bis dahin, macht's gut.
00:37:40
Kai Ole Hartwig
Ciao.