News 14/26 –

Claude Code Source Leak // Axios Security Incident // Apple App Store vs. Vibe Coding

02.04.2026

// Podcast
// News 14/26

Shownotes

Habt ihr unsere Videopodcasts schon gesehen? Unsere News-Folgen gibt es auf YouTube und Spotify als Video.

Ihr möchtet auf der programmier.con 2026 (25.-26. November 2026) einen Talk halten? Dann meldet euch jetzt unter: cfp.programmier.bar

Außerdem gibt es noch freie Plätze bei unserem nächsten Meetup: Am 9. April spricht Julia Kordick über Agentic Coding.

In dieser Folge sprechen wir über folgende Themen:

Durch einen Source-Map-Leak wurden etwa 500.000 Zeilen unverschlüsselten TypeScript-Codes von Claude Code temporär veröffentlicht. Dennis und die Crew diskutieren, wie relevant dieser Code tatsächlich ist und wo sich eigentlich die Alleinstellungsmerkmale von Coding Agents verstecken.

Weiter geht es mit einem NPM-Sicherheitsfall, bei dem ein bösartiges Paket als Dependency eingeschleust wurde. Die Post-Install-Scripts führten Remote-Code aus, was eine vollständige Kompromittierung von Systemen ermöglichen konnte. Jan erklärt, wie clever der Angriff vorbereitet war und welche Sicherheitsmaßnahmen für Maintainer:innen und Entwickler:innen zu empfehlen sind.

Dave berichtet von Apples Vorgehen gegen Vibe-Coding-Apps. Im App Store wurden mehrere Apps blockiert oder entfernt, die es User:innen ermöglichen, eigene Apps zu vibecoden. Die Diskussion dreht sich um die Balance zwischen Kontrolle, Qualitätssicherung und Innovation: Apple will scheinbar die Plattformintegrität wahren, gleichzeitig entstehen neue Unsicherheiten für Entwickler:innen, die interaktive Coding-Tools anbieten.

Dennis richtet den Blick auf das neuste Update von Google Stitch, ein AI-gestütztes Tool für Design- und Vibe-Design-Workflows. Die Hosts teilen ihre ersten Erfahrungen und reflektieren über Limitierungen bei der Integration bestehender Designs. Für Prototyping und neue Interfaces bietet Stitch spannende Ansätze, bleibt aber in der iterativen Nutzung hinter klassischen Design-Tools zurück.

Außerdem wirbt Jan für die SoCraTes Konferenz: Die 15. Ausgabe der „International Conference for Software Craft and Testing“ findet vom 27. bis 30. August in Soltau statt und widmet sich im Open-Space-Format samt Workshops allen Themen rund um Software Craft.

Download

/transkript/programmierbar/news-14-26-claude-code-source-leak-axios-security-incident-apple-app-store-vs-vibe-coding

Dennis: Hallo und herzlich willkommen zu 1 neuen programmier.baren NewsCoin in Woche 14 26. Wir reden heute über ein neues Sicherheitsding, was passiert ist mit Axios und Das stimmt. Sehr präzise Sicherheitsding. Wahrscheinlich war es ja eine Sicherheitslücke, die irgendwo ausgenutzt wurde, aber das werden wir ja gleich erfahren. Es bleibt spannend. Also irgendwas aus dem Bereich Security. Dann haben wir ein bisschen AI mit einem Produkt von Google Stitch, das wir uns angucken wollen. Cloud Code, da gab's auch auch Waffensicherheit eigentlich. Oh, okay.
Jan: Das ist
Dennis: ein Lead, der da passiert ist. Und dann hat Apple angefangen im App Store ein bisschen, ich weiß nicht ob Aufräumen das richtige Weg ist, aber zumindest 'n bisschen Krawall zu machen, was Vibe Coding Apps angeht, aber darüber sprechen wir und wir sind Dennis Becker, das bin ich.
Dave: Dave aka. Dave Brusczky, moin.
Jan: Und der Jan Krieger im Getriebe, moin moin.
Dennis: Schön, dass ihr es wieder geschafft habt. Wo ist denn eigentlich Garald Mock? Hat er der nicht im Thread noch
Dave: gesagt, der will ja auch kommen. Der ist, glaub ich, im Urlaub, oder? Der hat einfach gefragt, dass es im Urlaub ist. Ach so.
Jan: Urlaub. Der hat einfach sich vor Ostern in Urlaub genommen. Das ist eine Sauerei.
Dennis: Ja, das ist unja. Urlaubssperre einfach immer alle Feiertage rum. Ja.
Dave: Voll gut, voll die gute Idee. Ja.
Jan: Das sind alle viele. Aber Speaking of Feiertage. Ja. Also heute an dem Tag, in dem wir das aufnehmen, ist ja welcher Tag?
Dennis: Das würdest Du gleich noch rausfinden.
Dave: Es ist der es ist der zweite April. April, April, ah scheiße, okay, ja. Das ist Metaebene, Metajok.
Jan: Ja, nicht schlecht. Ich wollte einfach nur noch mal sagen, dass ich in das April Special reingehört hab von euch, in das erste April Special und ich das megacool fand und mich mega gefreut hat, dass wir das nach, weiß nicht, vor 3 Jahren oder so hatten wir die Idee zum ersten Mal, dass wir's endlich geschafft haben, dieses Ding aufzunehmen.
Dennis: Gar nicht die ganze Historie Historie ist mir gar nicht bewusst mit den Mir
Dave: auch nicht.
Dennis: 2 Jahren dahin führte.
Dave: Also ich weiß, es ist seit März.
Jan: Du weißt, dass ich seit dem ersten April
Dennis: Wenn ihr da draußen genug habt von diesem ganzen Programmierzeug und AI und hast Du nicht gehört.
Dave: Das setzt sich nicht durch.
Dennis: Genau, dann könnt ihr euch genauso wie wir euch jetzt mal fokussieren auf den zweiten Part unseres Namens, nämlich Bar, der in programmier.bar steckt und tief ins Cocktail Game absteigen. Und die erste Folge dazu wurde gestern veröffentlicht am Mittwoch. Gut, so, mein erstes Thema wurde kommentiert sowohl auf LinkedIn als auch bei uns in Slack intern von Jan Gregor im Getriebe als ist das überhaupt eine News und da ist doch gar nichts passiert.
Jan: Und deshalb sprechen wir jetzt drüber. Vertrittst Du weiter in diesem
Dennis: Standpunkt, Jan oder hast Du mittlerweile da noch neue News gelesen und wenn nicht Also
Jan: ich ich sagen wir's andersrum, ich geborene dir mal die Chance zu pitchen, warum das relevant ist und dann können wir darüber sprechen, ob das eine News ist oder nicht. Ich behaupte nach wie vor nicht.
Dennis: Okay, alles klar. Was auch immer was passiert ist Nicht, was auch immer passiert ist. Was passiert es gab und da kenn ich mich jetzt wieder, das könnt ihr wahrscheinlich Fühl fühle das mal 'n bisschen mit Wissen an ihr alten Devs hier. Hier ist ein Source Map Leak und was ist das, Jan?
Jan: Also die Source Map zeigt ja im Prinzip von der komprimierten Quelldatei zur unkomprimierten Quelldatei und hilft dir halt grade im Debugging, also wenn Du noch am Entwickeln bist, zur Laufzeit irgendwie besser in den Quelltext reingucken zu können. Damit Du nicht in komprimierte JavaScript Dateien reingucken musst, sondern die Sourcemap kann dir halt sagen, diese Stelle in der komprimierten Datei entspricht quasi dieser Stelle in der unkomprimierten Datei.
Dennis: Und durch einen Fehler in der Konfiguration, mittlerweile hat Ant Tropic sich dazu gemeldet und hat gesagt, das war ein Human Error, der da passiert ist, ist es so passiert, dass eben die unverschlüsselten und verschlüsselten, unkomprimierten, wie nennt man sie? Und die original type Script Dateien Ja. Geleakt wurden und zwar von Cloud Code, von einem großen Teil, der Harness und alles, was dazu passiert. Das sind ungefähr 500000 Zeilen Code, die geleakt wurden. Ist es nicht gesamte Codebasis? Das weiß man, glaube ich, nicht so hundertprozentig, Okay. Aber schon scheint so von der Funktionalität, die da drin steckt, schon 'n relativ großer Teil zu sein.
Dave: Okay. Und
Dennis: dann ging son lustiges son bisschen son Copyright Ding hin und her. Also dann gab's natürlich sehr findige, also Anthropica hat das sehr, sehr schnell gemerkt und hat es dann gepatcht und dann war es nicht mehr da, aber wie das Internet so böse ist, hat natürlich innerhalb von wenigen Minuten einige Leute das ganze Ding einfach kopiert und in irgendwelche Repositories gestellt. Anthropic war relativ erfolgreich. Viele von denen dann mit so 'ner, wie heißen die, DMCA oder sowas. DMCA. Ja, das ist so Copyright and Friendeman, hey, da ist eine Kopie und man kann das ganz schnell runternehmen. Also da waren sie rechtlich sehr schnell unterwegs und konnten die ganzen Repositories dann wieder schließen lassen.
Dave: Ich hab ich hab direkt an dieses Young Man gedacht. Die MCA. Okay, gut. Waren richtig beim Kopf eingespeichert dann? Nee,
Dennis: genau, das haben die
Jan: Village People, so wie
Dennis: sind das haben die gemacht?
Dave: Oh, das sind wir eigentlich.
Dennis: Nur wir
Dave: sind die City People, glaube ich, soweit.
Jan: Ja, also ich glaub, Bad Knowheim
Dennis: ist Waren die
Jan: Waren die Waren die als City People, aber
Dave: Dann sind wir die Village People. Okay.
Dennis: Waren die alle muskulös oder nur 1? Alle alle. Alle
Dave: muskulös, alle sexy, alle in coolen Dresses? Ich bin dann ein Cowboy, glaube ich.
Dennis: Dann nehme ich den Bauarbeiter, aber ich bin halt nicht so muskulös. Aber finde ich gut. Ja. So und haben viele davon gelöscht. Jetzt kommt der spannende Part. Mhm. Ein schlauer Dude da draußen hat gedacht, ja, von wegen Copyright, ich nehm das Ganze, ich hab das Ganze noch und lass es jetzt mit AI einfach komplett neu schreiben und hat das Ganze als Python Code innerhalb von wenigen Stunden mit AI neu schreiben lassen, was soweit auch funktional ist. Also das heißt, da funktioniert's ja gerade. Jetzt jetzt gerade sind sie dabei, das Ganze noch mal in Rust zu machen, weil sie irgendwie gedacht haben, okay Python ist vielleicht nicht die geilste Sprache, diese Age und Hannes zu machen. Und Schreiben jetzt ist gerade noch mal neu. Es ist übrigens, dass in 2 Stunden am schnellsten gewachsene GitHub Repository aller Zeiten, also das heißt, sie haben innerhalb von 2 Stunden 40000 Stars waren's, glaube ich, gesammelt.
Dave: Und warte mal, gibt's denn schon 1, das innerhalb von 3 Stunden stärker gewachsen ist?
Dennis: Ich würde diese Limitation auf 2 Stunden sehen. In 3 Stunden meinst Du?
Dave: Ja, also gibt's 1, das sind 3 Stunden Nein, aber
Dennis: das ist ja jetzt, es ist ja jetzt vorgestern passiert oder so oder
Jan: gestern, weil da sind
Dennis: noch nicht so viel mehr Stunden. Ja. Aktuell sind es 86600 Oh.
Dave: GitHub
Dennis: Stars, die auf diesem Priv Repository sind. Mhm. Genau und tatsächlich der Typ, der das gemacht hat, der hat sich wohl auch schon die letzten Monate, das ist jetzt nicht so zufällig, dass er das irgendwie, dass es da dann dachte, oh, das finde ich interessant, sondern er hat sich explizit mit Agent Harwnesses auseinandergesetzt und deswegen fand er es halt sehr interessant rauszufinden, okay, was macht denn Cloud Code alles im Background und was macht das besonders? Und insofern würde ich schon behaupten, dass da ein paar ganz nette Informationen drin waren, einfach zu gucken, okay, was macht Lordco oder ich glaub, dass noch nicht alles jetzt irgendwie komplett durchforstet wurde und man irgendwie alles davon sät. Aber es gibt zum einen gibt's so komische, gibt's irgendwie son Tamagotchi Aspekt, der da drin ist und ja, ein paar andere, andere releaste Sachen. Also, wenn ich jetzt ein, welchen ein anderer Anbieter wäre von 1 Agent Hannes, dann würde ich mir das doch sehr explizit angucken, zu gucken, okay, was sind da noch für Features, was haben sie noch genutzt, Cloud Code so gut zu machen, wie Cloud Code ist. So, Jan, warum ist das kein Problem?
Jan: Also ich frag mich halt, wie viel neues Wissen da wirklich drinsteckt, weil am Ende ist das ja alles Zeug, was schon auf deinem Rechner lag. Also dadurch, dass Cloud ja in type Script gebaut ist, ja, ist es ja jetzt nicht 100 Prozent Binärcode oder so, der da ausgeliefert wird, sondern man kann ja schon, wenn man son bisschen die Compile Arbeit da reinsteckt und so, sich das schon halt alles anschauen. Und ich würde halt auch die Frage stellen, dass selbst wenn Du jetzt 100 Prozent vom Quelltext irgendwie von Cloud Code dir irgendwie anschauen kannst, wie viel Businesslogi kann da denn drinstecken und wird sich das Allermeiste irgendwie Serversite gemacht bei denen, so, ja? Also wie viel von dem von der Wertigkeit des Hahnesses steckt in der lokalen Anwendung versus wie viel kommt halt, also natürlich durch das Model, was sowieso noch mal eine ganz andere Sache ist, aber durch so Memory Zusammenschrauben und die System Proms und hast Du alles nicht gesehen? Also ne, so, deshalb würd ich da mal son Fragezeichen dran machen und auch viele der Artikel waren ja so megakrass, klickbait, die so, ja, Cloud Code ist geleakt und so. Nein, also das Einzige, was halt geleakt ist, ist diese Terminalanwendung, so. Und da ist ja bei Weitem nicht alles drin, was Cloud Code irgendwie ausmacht und deshalb fand ich das son bisschen, also so wie Du es jetzt erzählt hast
Dennis: Aber
Jan: finde ich's zumindest Newsworthie,
Dennis: ja? Ja. Aber
Jan: wenn man sich nur diese ganzen Clickbait Artikel irgendwie anschaut, boah, Cloud Code ist geleakt und Antropics Business Secrets sind irgendwie draußen und bla. Ich war so, nein, da hast Du das Spiel nicht verstanden.
Dennis: Aber ist online mehr als das LLAT M? Weil ich würde mal behaupten, also der APICAL geht letztendlich einfach nur zu dem OPOS Modell und alles andere da rum, warum er was macht, mit welchen Schritten, wie er was noch mal validiert und so was, das dürfte doch wirklich tatsächlich alles in der lokalen Anwendung liegen.
Jan: Also ich würde behaupten, nee, gerne, ich hab mir den Quartex eigentlich angeguckt, aber ich würde behaupten, sie wären schön blöd, wenn sie das alles an Business Logik lokal geshippt hätten und nichts davon aufm Server irgendwie passiert, weil dann, ne, gibst Du ja wirklich so dein dein ganzes Businesswissen für umsonst raus.
Dave: Ich frag mich halt, also weil weil Du hast ja gesagt hast, 500000 Zeilencode, also ich frag mich, also es ist wahnsinnig viel Ja. An dich. Also ich denk mir so, okay, was soll da drin sein? Weil eigentlich, also wenn es wirklich nur das Lokale dort vorne ist, also ich kann mir beim Besten mir nicht vorstellen, dass es so viel Zeilencodes ist. Also da muss, glaub ich, schon noch mal 'n größerer Batzen auch dabei gewesen sein, wär meine Vermutung.
Jan: Na ja, also 500000 Zeilen, mach dir macht 'n Tutorial doch mal den Gefallen und schau dir bei Gelegenheit mal an, wie viele Zeilen so in unseren Spielen drinstecken. Also das ist weniger. Gar nicht. Meinst Du?
Dave: Ja, ich glaub, wir haben letztes Mal nachgeschaut. Ich glaub mit Frontend, Backend haben wir 250000 oder so was, den Dreh.
Jan: Oh, ich Interessant, weil ich hatte jetzt, als ich hab mich versucht
Dave: Und wir haben ja wirklich
Dennis: noch viel.
Jan: Paar Anwendungen, an denen ich geschraubt hab und die waren schon auch immer so mehrere 100000 Zeilen. Das fand das jetzt nicht so komplett anhört auf irgendwie.
Dave: Ja. Ich fand das ich fand das aber lustiger, was was Du gesagt hast, Dennis, mit die haben gesagt hast, das ist 'n Human Error. Ich glaub, das müssen die auch sagen, by the way, die kann nicht zugeben, dass er irgendwas dann LLM falsch gemacht hat, sondern es ist immer son bisschen, ja ja, das sind die dummen Menschen, die das machen, so. Unser Produkt ist perfekt. Ja,
Dennis: also ich, Mindtech, wie gesagt, man, vielleicht wäre es ganz gut oder auch viel Aufwand 500000 Zeilen Code jetzt noch mal zu analysieren und zu lesen, das machen jetzt Macht das mal. Einige da draußen.
Dave: Ich hab so
Jan: das würde halt schon eine Tag Folge, Dennis. Ja.
Dennis: Ja, nicht eben. Na ja, ich bin ja, also ich bin eher bei Dave und nicht bei dir, wo ich sage, es ist schon erstaunlich, wie viel da jetzt drin, es ist halt nicht nur ein ganz dünne Schicht gewesen von, hier ist nur die CLI und sie spricht mit dem Modell da unten, sondern es ist sehr viel von dem Ganzen, was die Harness ausmacht, von den Schritten, von den Tools und so weiter, die damit herkam und ich glaube, das ist Kann man drüber diskutieren? Ich mein, ist nicht die Gemini Sealay sogar Open Source gewesen oder früher tue ich mich jetzt grade? Also na
Jan: ja, also es gibt ja Open Source Hanesses, ja? Wenn Du dir Open Code oder so was anguckst, da kann man ja mal reinschauen und einfach, also es ist so, als ob wir noch nie 'n Haness von innen gesehen oder 'n richtig hätten sehen können.
Dennis: Richtig, aber jetzt ist ja die Frage, was hat so in der Wahrnehmung Cloud Code besser gemacht in den letzten Monaten, die wir so hatten, weil viele glaube ich damit einhergehen, dass es so mit das Stärkste ist und dann ist halt jetzt die Frage, ist es einfach nur Opus 4 6? Du kannst ja auch dann eben dieses, ich verwechsele mal die dann, Open Was ist? Open Code? Open Code. Open Code auch ja mit mit den Cloud Modellen nutzen und ich vermute, die Experience ist nicht ganz so gut, wie wenn Du die Cloud Code ASEI genutzt hast. Und das ist ja dann, das ist ja die der die Final Magic Source, die das dann so erfolgreich gemacht hat und da kannst Du jetzt halt mehr reingucken als vorher.
Jan: Und das wär jetzt vielleicht die interessante der interessante Teil der Auswertung, ne, zu sagen, okay, wir vergleichen jetzt wirklich mal die eine Coop Base mit der anderen und schauen, ob da wirklich irgendwas drin ist, was auf Feature Ebene irgendwie maßgeblich unterschiedlich ist oder Ja, aber da wär ich dabei
Dennis: Am Ende, ja genau, aber am Ende sitzt ja auch die kleinen, ich glaube, es sind da am Ende irgendwie auch Details, also wenn man mit den LLM umgeht, merkt man das ja auch. Wir hatten ja auch, glaube ich, muss ich auch bisschen den Folgen hier wahr, ne, wenn man jetzt Kontakt da nutzt und die haben so einen neuen Review Button, der dann einfach nur wo der prompt Ich meine, das ist auch nichts Besonderes, außer dass der prompt 'n bisschen anders ist und der Sub Agents nutzt dafür so, aber ne, das LM und keine Ahnung was dahinter, ist alles gleich geblieben und trotzdem macht's in der Qualität dann sehr großen Unterschied und deswegen glaube ich, ist das was so Spannendes. Jo. Ja. Gut. Bleiben wir noch bei Sicherheitslücken Lex, was auch immer.
Dave: Ach so, ich versag mich zur Sicherheitslücke.
Jan: Ah, okay. Wir bleiben in der Kategorie, was auch immer.
Dave: Was auch immer.
Dennis: Was auch immer.
Dave: Das ist
Dennis: auch gut. Jan, ey, krieg ich. Jan Emke. Jan Emke. Ryder.
Jan: Es gab natürlich mal wieder eine, ich weiß, also Sicherheitslücke auf NPM. Klingt ja immer so, als ob NPM dran schuld ist, aber es sind ja eigentlich immer die Pakete, die auf NPM gehostet werden, die dann da fröhlich, munter die Sicherheitslücken durch die Gegend schieben. Und zwar hat das diesmal Axios getroffen und das ist eigentlich aus 2 Gründen irgendwie 'n besonderer Case und deshalb sprechen wir noch mal drüber. Wir sprechen ja bei Weitem nicht mehr über jeden dieser Fälle, weil es einfach wöchentlich, ja, gibt's ja mittlerweile und wir könnten über nichts anderes Wir könnten 'n Podcast machen, der nur NPM Lücken irgendwie diskutiert. True. Aber warum ist das in dem Fall irgendwie besonders? Zum einen, weil Actxus 1 der größten, meist verwendetsten MPM Pakete da draußen ist wahrscheinlich, ja. Also ich hab eben noch mal die Zahlen geguckt, so hunderte oder 100000000 Downloads jede Woche, ja. 180000 andere Pakete, die darauf dependen, so. Also das ist das nicht ohne, so, ja. Und eine Sicherheitslücke, die halt einfach massiv war, so. Oder ein die Ausnutzung massiv war. Was was ist passiert? Also die TLDA Variante ist, wenn Du Axios in der Version, in der kompromittierten Version verwendet hast, hast Du ein Remote Access Package quasi installiert bekommen und der Angreifer konnte halt deine Kiste übernehmen. So, Ende Gelände, ne. Also viel schlimmer wird's eigentlich, nicht? Ja. Und in all diesen ganzen Security Post Mortums und Berichten und so was steht auch so, ja, wenn Du da diese Lücke bei dir gefunden hast, versuch halt gar nicht, die zu beheben, sondern schmeiß die Kiste weg, behandle die als kompromittiert, setzt es komplett neu auf, whatever, verbrenn es mit viel Feuer und Öl, aber die ist halt durch die Kiste, so, ja? Alles, was da ansatzweise an Sequels drauf war, kannst Du fünfmal durchrotieren und so. Wie ist das passiert? Und das ist der der interessante Teil. Axios hat eine Dependency auf Jayce Krypto, wie es für viele andere Pakete auch, weil Krypto braucht man halt für SSL und so weiter und viele andere Sachen. Und der Angreifer hat quasi eine Kopie von JS Crypto gemacht, hat sie Open JS Crypto genannt oder Open Crypto JS. Hat die erst mal ganz normal released, hat die dann in Axus als Dependency hinzugefügt, hat dann eine neue Version von dieser falschen Dependency released und da war quasi der Schadcode drin, so. Also das quasi nicht mal beim Hinzufügen der Dependency irgendjemand hätte stutzig werden können, so, sondern halt dann ganz normal mit sonem Update Prozess, ne, so wie wir das halt halt auch regelmäßig machen. Da update ist seine Dependencies durch, Axios updated auch seine Dependencies und dann kommt die Variante von diesem Krypto Klon sozusagen da rein. Und was die wiederum mitbringt, ist ein Post Instal Look. Und da haben wir hier ja auch schon ganz oft drüber gesprochen, dass Post Instal Scripts vielleicht generell nicht sone coole Idee sind, automatisch auszuführen. Aber was in dem Fall passiert ist, sind 2 Sachen. Es wird ein Skript ausgeführt, was halt diesen Remote Access nachlädt und bei dir auf der Kiste installiert und ansonsten danach alles tut, seine Spuren zu beseitigen. So, es schreibt seine Package Json Datei und tut so, als wär's eine ganz andere Version von 'nem anderen Package so, ja? Dass auch wenn Du mit so Standard Package Scannern und Vulnability Scannern halt drüber gehst, Du erst mal nicht merkst, dass Du überhaupt eine kompromittierte Version hattest, weil er im Prinzip son fiktives Downgrade auf die nicht infizierte Version wieder durchführt, so. Schau mal. Und ja, es ist also super-, superschlau, ja. Und die ganzen Right Ups sagen halt auch so, ja, das ist halt nicht son kleiner Opportunity Angriff gewesen, sondern hat halt jemand viel Zeit und Mühe investiert in die Architektur von diesem Ding, in die Vorbereitung von, ne, wir releasen erst mal total harmlose Pakete und erst ein, 2 Updates später führen wir da dann irgendwie 'n methodisches Code irgendwie ein. Also es war von von langer Hand wahrscheinlich geplant und halt sehr, sehr durchdacht, dieses ganze Ding.
Dave: Mhm.
Jan: Jetzt muss man natürlich am Ende des Tages sagen, na ja, das war nur ungefähr 3 Stunden online, aber 3 Stunden online auf Hunderten Millionen Downloads und hunderttausenden Dependencies und so ist halt immer noch krass vom Impact zu am Ende, ja? Also 'n paar von diesen Security Firmen haben versucht, das son bisschen zusammenzufassen und gesagt, na ja, Axios ist irgendwie in 80 Prozent der Cloud Umgebung irgendwie installiert als Teil von soner Transient Dependency, die irgendwo in deiner Toolchain halt drinsteckt so, ja. Und wenn davon halt auch nur 'n Bruchteil irgendwie kompromittiert wurde, dann hast Du halt schon ziemlich, ziemlich viel erreicht, so, ja. Und das Tragische an der Stelle ist ja eigentlich, wie so oft bei diesen Security Themen, es hätte halt verhindert werden können. Ja, ich mein, im Nachhinein ist man natürlich auch immer schlauer und das ist 'n bisschen unfair, vielleicht das dann den Leuten so vorzuwerfen. Aber wenn man sich mal anschaut, was da genau technisch passiert ist, wie ist da Wie konnte es dazu kommen, ja? Dann muss man halt schon sagen, da sind einfach son paar Fehler aufeinander gefallen. So sowohl auf Mainainer als auch auf Client Seite. Also auf Client Seite haben wir eben schon gesagt, ne? Install Hooks, schwierig, sollte man vielleicht abschalten. Dave, ich glaub, ihr habt ja auch angefangen, das jetzt abzuschalten. Der Anton hat da irgendwie mal im letzten Developardical Fix irgendwie drüber gesprochen Genau. Dass wir das jetzt hinterher gemacht haben. Cooldown Periode für NPM Dependencies konfigurieren, ja? In dem Fall hätten dir nicht mal 24, 6 Stunden hätten dir schon geholfen, Du hättest dieses ganze Debakel einfach ausgesessen sozusagen, ja? Ja? Aber halt auch auf Publisher Seite. Es gibt 2 Probleme, die da zusammengekommen sind. Das das eine auch megakrass, also es es wurde die Security von dem Hauptmaintainer sozusagen kompromittiert und nachdem es dann bekannt geworden ist, haben die anderen Mainainainer, die da grade früher dran waren oder das früher bemerkt haben, haben halt versucht, neue Releases zu machen, Issues zu posten und bla, aber dadurch, dass der Angreifer halt Key Credentials hatte von dem Mainainer, hat er halt einfach alle Issues, die aufgemacht worden sind, wieder rausgelöscht. Alle neuen Versionen, die versucht worden sind zu publishen, wieder entfernt und so. Also wenn Du wenn Du son Machtgefälle in deiner Maintainergruppe hast und der der Hauptmaintainer halt viel mehr kann als alle anderen
Dennis: Ja.
Jan: Und der ist einmal kompromittiert. Es gab 'n 'n Tweet von einem, der Co Maintainer, der gesagt hat, ja, ist schade, wir können jetzt halt auch zugucken wie alle anderen, aber wir können einfach nichts machen, so. Und das das ist schon auch super traurig eigentlich so, ja. Und dann am Ende und ich glaub, da haben wir auch schon mal drüber gesprochen bei 1 dieser anderen Sicherheitslücken. NPM hat ja ein neues Publishing Modell schon mal eingeführt, genau eben dieses zu verhindern, dass nicht jeder mit irgendwelchen x-Beliebig abgefischten alten Tokens neue Versionen releasen kann, sondern die halt dieses Trusted Publishing eingeführt haben. Und das wurde halt an der Stelle in dem Paket einfach nicht verwendet, so, ja? Auch da zeigt sich wieder, es gibt halt Security Best Practices, die das hätten verhindern können. Die wurden hier nicht angewandt und dann passiert so was halt, ja. Von daher, wie gesagt, Vorwürfe machen ist danach immer leicht. Das sind alles Open Source Mainainer, die haben auch andere Sachen zu tun, die können sich nicht immer nur irgendwie ihre Pakete kümmern, aber ist halt trotzdem immer schade zu sehen, wenn man sich so die Summary anguckt und dann denkt, boah, das hätte halt auch irgendwie nicht sein müssen Mhm. Und so. Und trotzdem werden wir wahrscheinlich in genau dieses Setup von genau sonem Angriff noch fünfmal reinrennen, weil jetzt ist Ja. Quasi der Blueprint irgendwie dafür da. Diese ganzen Metigation Maßnahmen werden sicherlich nicht von allen Paketen da draußen irgendwie gemacht, unternommen und ja, werden wir noch mal sehen.
Dennis: Joop. Spannend.
Dave: Geil, wie das Wort spannend nicht mal so ganz von dir ausgesprochen wurde, sondern Du halt mal die letzte 3 Wusch damit so mit leicht Vernunft hast. Voll gut.
Jan: Das ist, weil er so mitgenommen war von der Geschichte.
Dave: Ja, es ist wirklich, ja, es macht betroffen, es macht betroffen. Weil also wie Du gesagt hast, ich fand die Abschlussworte waren nicht schön. Es wird wieder vorkommen. Wir können wahrscheinlich 1 zu 1 genau dasselbe wieder erzählen.
Jan: Ja, lass doch diesen Ausschnitt einfach hier so aufheben. Genau. Und dann
Dave: hör mal so, wir fügen aber noch mal das ein. Ja. Danke, jetzt hast Du die, jetzt hast Du den Blueprint gegeben dafür, für jede weitere Erfolge. Nein.
Dennis: Gut, dann kommen wir zum nächsten Thema und das macht mich entweder hätte finde ich Apple gut oder Apple schlecht. Es kommt 'n bisschen drauf an, was wirklich hinter dieser Headline steht. Ja. Dave, hast Du 'n Stromkabel in deinem MacBook in deinem Rucksack? Nein. Okay.
Dave: Aber wir schaffen das sicherlich noch, bevor dein Akku leer ist.
Dennis: Alles klar.
Dave: Deswegen ist mein meiner ist auch gleich leer.
Dennis: Gut, 16 Prozent.
Dave: Das schaffen wir. Deswegen ist ja, würde mich noch mega interessieren, was Du am Ende sagst davon, weil Du bist ja Apple Fanboy, aber Du bist auch so AI Fanboy. Ja. So, dass jetzt so 2 Realitäten
Dennis: klatschen
Dave: Klacken. Geklatscht aufeinander. Ja. Deswegen ist sehr interessant, was jetzt deine Meinung ist am Ende. Aber was ist überhaupt passiert? Und zwar könnte man sagen, Apple sagt irgendwie den ganzen AI Vibe Coding Apps den Krieg an. Mhm. Boah, das kann ich jetzt auch irgendwie sagen, ne, Clickbait Headline, ne. Aber lassen wir erst mal so stehen, ich klär auf, was passiert ist. Und zwar war das Mitte März, da ist es nämlich aufgefallen, dass im Reviewprozess von Replit im App Store Apple gesagt hat so, nee, das das lassen wir nicht durch, ihr müsst wirklich je Major UX Changes machen, so ihr müsst da alles anpassen und verändern und so. Dann gab's noch eine andere App, Vive Code hat sich genannt, die denen gesagt wurde, hey, ihr sollt gar nicht erst die Fähigkeit haben, überhaupt irgendwie Code explizit für Apple Produkte zu entwickeln. Also ne, dass es irgendwie fürs iPhone ist oder für 'n MacBook oder so, das sollte explizit nicht. Genau und Raplit hat halt die Antwort bekommen so, hey, ändert doch mal bitte eure UX und wenn ihr eine App erstellt, dann soll sie bitte jetzt nicht in der App selbst stattfinden, sondern auf irgendwie einen einen externen Browser irgendwie geleitet werden, ne. So. Man sie, okay, könnte man machen, aber es sollte doch noch mal anders kommen, denn es gibt eine weitere App, Anything nennt sie sich, ist auch eine Vipe Coding App und die hat nämlich genau das gemacht, dass halt quasi so deren Reviv wurd nicht zugelassen. Dann haben die gesagt, ja okay, dann machen wir das halt aufn externen Link im Browser so, ist nicht mehr innerhalb der App. Ja, und kurzerhand danach wurden die einfach komplett entfernt. Das ist natürlich so krass, dass sie gesagt haben, hey, macht das und das funktioniert. Apple hat sich selbst auf 2 Sachen in ihrer Richtlinie, was so deren Nutzungsbedingungen angeht, Ja. Die man da veröffentlichen möchte. Und zwar mehr oder weniger 2 Sektionen, die Folgendes sagen, und zwar, dass eine App, das ist jetzt das ist jetzt interessant, dass Du hier so aufstehst und durch den Laden läufst und sogar das Ladekabel findest. Das ist gut.
Dennis: Weiterreden.
Dave: Weiterreden. Genau, nämlich 2 2 Sections in deren Guideline, und zwar, dass eine App keinen externen Code nachladen und ausführen darf, wenn wenn dadurch die Funktionalität der App halt beeinträchtigt wird oder verändert wird. Und das Zweite ist so, die dürfen tatsächlich irgendwie Code schon ausführen, wenn das halt irgendwie in sonem Learningprozess ist, ne? Das heißt, wenn Du eine App machst und Du willst Leuten beibringen, wie man coded, ist das vollkommen legitim, so, aber es muss halt immer durch den User editierbar sein und darf irgendwie den den Zweck der App nicht komplett entfremden. Und das ist ja eigentlich genau das Problem jetzt an der Sache. Also das ist ja mehr oder weniger der Kern von AI basiertem Vibe Coding so, ne. Du hast irgendwie Software, die dynamisch halt erstellt wird. In Echtzeit werden da Dinge umgeändert. Du machst 'n neuen Proms. Neue Dinge werden generiert und Du kannst ja genauso gucken, was passiert dann, ne? Aber natürlich, also jetzt kann man kann man sich da irgendwie an der Stelle, glaube ich, schon anfangen zu streiten so, warum Apple das macht, ne? Ich glaub, ganz grundlegend, wenn man Apple bisschen wohlgesonnen ist, könnte man sagen, na ja, also die haben ja diese Richtlinien aufgestellt. Die Richtlinien sind 'n bisschen veraltet, muss man sagen, na also Mhm. Sie sind von 2010, so. Da haben sie sich, glaube ich, keine Gedanken gemacht, okay, es wird irgendwelche Coding Agents geben. Mhm. Und die die die die die die Rechtsabteilung von Apple sagt, hey, aber mal, das steht da in den Richtlinien. Wir dürfen das nicht zulassen, ne. Wo ich glaube, in sonem großen Unternehmen kann es durchaus sein, dass so was da ist und die verschiedenen Departments nicht miteinander kommunizieren und sich jetzt noch mal neu aufstellen müssen Ja. Bezüglich ihrer Rechtsabteilung und den Guidelines für die Stores. Aber wir können hier auch 'n bisschen spekulieren, ne? Wir sind ja auch ein Klatsch und Tratsch Podcast und was was ich da irgendwie son bisschen gedacht habe so, ich glaube, Apple geht es sehr stark darum, einfach die Kontrolle zu behalten und potenziell weiterhin Geld zu machen, ne. Denn was passiert so, ne? Du hast halt irgendwie so deine deine Vibe Coding App und sagst so, hey, ja, ich möchte jetzt meinen 'n Kalorientracker bilden. Und dann hast Du halt in deiner Rapid App einen Kalorientracker und nutzt das innerhalb der App dann einfach so. Store gehen und dir irgend eine andere App holen, ne, die Du eventuell kaufen musst, wo Du 'n Abo abschießen muss, wovon Apple dann natürlich wieder 15 bis 30 Prozent Provision bekommt von allenäufen, die getätigt werden, ne. Also ich glaub, das ist wahrscheinlich auch mitunter ein ein großer Aspekt, der Apple jetzt wichtig ist. Die haben auch so was gesagt, na ja, uns ist ja auch wichtig, so Quality und so was alles. Alles, was hier reinkommt, soll 'n gewissen Qualitätsstandard erfüllen so. Und ja, das Problem mit diesen Vibecalling Apps ist so, die sind erst mal per se alle gut so, aber was dann daraus resultiert und entsteht, darauf hat Apple gar keine Kontrolle mehr. Und wenn daraus eine ganz neue App entsteht, schwierig. Und das ist so aktuell irgendwie der Stand und man muss jetzt halt beobachten, was mit den restlichen Vibe Coding Apps passiert und ob Apple sich dagegen noch mal anstellt. Weil ist natürlich schon krass, wenn man überlegt, dass sie einfach, was ja, glaub ich, 9000000000 schwer ist, schon interessant, dass sie sagen, nee, das geht nicht durch. Deswegen also, glaub ich, sehr spannend in der Dynamik.
Dennis: Ja. Ich hab da 2 Gedanken zu. Also das eine ist vielleicht, dass Sie wirklich irgendwo gefangen sind in Ihrem in in Ihrem Rechtsraum. Also dass Sie gar nicht gar nicht in der Lage wären, so kurzfristig es einfach zuzulassen. Also wenn sie diese diese Richtlinie haben und von daher sich irgendwie in gewisser Weise Ich mein, also so simpel, dass sie sich vielleicht anhört, dass da einfach 'n Review sitzt und sagst so, ja okay, das ist eigentlich das, was wir nicht erlauben. Also ne, kann ich's ja jetzt irgendwie nicht durchgehen lassen.
Jan: Aber Sie waren ja alle schon drin. Also Sie fliegen ja gerade raus.
Dennis: Ja, okay. Das ist dann, ja, das ist schon Aber auch da, also ich weiß nicht, wie angreifbar Du bist, wenn Du die Richtlinien nicht durchsetzt oder ob das dann in deine freie Meinungseis rumgeheult. Also ne, also ist es, wenn Du Richtlinien hast und beziehst dich da in vielen Fällen drauf, auch vor Gerichten et cetera, ist es dann okay, wenn Du diese aufweist oder ist das jetzt einfach nur eine Reaktion, auch irgendwo rechtlich sauber zu bleiben, dass man da nicht einzelne bevorzugt und auf einmal Ausnahmen macht, sondern einfach sagt, das sind die Reviews und da müssen wir uns dann halten und so gern wir irgendwie gerne das hätten. Das ist jetzt eine sehr wohlwollende Ja genau. Sicht auf das, was vielleicht passiert ist. Ja. Und die andere, also ich meine, klar, das gehört, ne, all das irgendwie diese ganzen Richtlinien und das sehr restriktive von Apple hat natürlich darauf eingezahlt, dass die Qualität der Apps, die Du im App Store findest, irgendwie jemand eine gewisse gewissen Threshold hatte, ne und da irgendwie reingepasst hat und ich weiß nicht, ob der jetzt wirklich Ich Ob sie sich dagegen dann wehren können, ist ja ein bisschen die Frage. Also ich meine, Du kannst jetzt auch alles mögliche einfach dann halt auf den Desktop Vibe coden und dann als Web App bereitstellen, so. Da haben sie auch kein Revenue. Also ob das das große Ziel ist, sich gegen so ein paar Vibe gekurdete Apps dann tatsächlich zu schützen, das weiß ich eher nicht. Aber ja, was so die Integrität und und und Experience auf der Plattform angeht, ja, kann ich mir schon vorstellen, dass sie das nicht in der nativen App haben wollen, die Du im App so runtergeladen hast und dann irgendwas drin ist, was gegen ihre Richtlinien verstößt.
Dave: Mhm. Jan, Du guckst son bisschen kritisch.
Jan: Na, ich ich Oder überlegen auch sagen. Wir wir warten mal noch son halbes Jahr oder so, weil wir haben dasselbe Ja. Verhalten von Apple ja schon an ganz vielen anderen Stellen gesehen, ne. Wenn Du überlegst, wie das ganz am Anfang mit Streaming Apps war, wie das ganz früher mit In Appources funktioniert hat bei Büchern bei Amazon, bei Audible, weil keine Ahnung, wie das mit so Game Streaming Apps zuletzt irgendwie funktioniert hat, wie das mit Emulatoren funktioniert hat. Ja, wo Apple quasi an jeder Stelle immer erst mal gedacht hat so, boah, das geht nicht, das wollen wir nicht, bla, das passt ja auf die Plattform und so weiter. Und dann, als sich son bisschen halt rausgestellt hat, okay, mit diesen Apps kommt halt eigentlich nicht der Weltuntergang einher und das ist irgendwie alles ganz normal und da draußen halt irgendwie akzeptiert und ich glaub, der wichtige Punkt auch erwartet irgendwo, ja? So sobald die unabhängig von Apple, sobald diese diese Apps oder diese Arten von Apps eigentlich für für Kunden irgendwie Standard Erwartungen an sone Plattform waren, dann war auch meistens so irgendwie der Moment, wo Apple gesagt hat, ja, okay, dann machen wir das halt auch irgendwie, so, ja. Von daher, ich glaub, dass es kein kein Weltuntergang ist, das ist sicherlich superärgerlich für die Leute, die diese Apps entwickeln und auch jetzt grade entwickeln wollen, weil da sone Unsicherheit mit einhergeht. Mhm. Aber ich glaube es nicht das das Ende dieser Apps auf auf iOS. Und in Europa sowieso nicht, weil wir können ja eigene App Stores machen.
Dave: True. Aber genau an diesen Case hat mich das son bisschen erinnert tatsächlich. Das hat sich ja Apple auch sehr lange quergestellt. Und dann verloren sogar vor Gericht, ne? Das war das Ergebnis.
Jan: Ja, also weniger vor Gericht als ja vor der Europäischen Kommission.
Dave: Ah, hier, so, jetzt sag ich ja, das andere Gericht.
Dennis: Ja. Ja, aber das war auch kein Ding, oder? Also habt ihr eine alternativen App so habt ihr eine alternativen App so installiert?
Dave: Kurz nachdem die News live ja und dann hab ich's aber auch
Dennis: nie wieder genutzt. Ich auch. Aber hast Du daraus irgendwas hier am Krieger, was Du bezogen hast, außer Fortnite, was Du jeden Tag zockst?
Jan: Nein, nicht nicht Fortnite, aber Delta, mein mein Nintendo Emulator hier unter iOS, der kommt aus sonem alternativen App so. Oh. Okay. Hacker. Ja, für den kleinen Pokémon fix unterwegs.
Dennis: Gut. Gut. Sprechen wir noch schnell jetzt, wo ich wieder Strom hab, über
Jan: das Meet-up. Stitch. Nein, Stitch. Ach so.
Dennis: Aber kurze Werbung zwischendurch. Am April findet das nächste Meet-up statt hier bei uns in Bad Nauheim und zwar geht es über Coding Agents, Coding Agents mit Julia, die hier schon im Podcast war und genau, Foyer mit leckeren Ist ist Fingerfood das Ding? Yes. Mit Fingerfood und leckeren Cocktails von der Bar.
Dave: Von der Bar. Ich glaub
Jan: grad, es gibt neue Cocktails, hat Dave mir geflüstert.
Dave: Ja, stimmt, einen neuen Cocktail. Es gibt den Fispers.
Jan: Ja. Willst Du antasern, was das ist oder ist das son Secret.
Dave: Es wird orange, sagen wir so.
Jan: Mhm.
Dennis: Ja, Stitch. Das grad
Dave: fertig?
Dennis: Die eine Moderation?
Dave: Ja, warte, neunte vierte, ja,
Jan: der vierte.
Dennis: Okay, gut. Meldet Bad Nowheim. Mieter dot com.
Dave: Genau, Meet Updruck, ja. Gut. Meet Updruck com, Programmierpunkt bar. Programmierpunkt bar und darüber, ja.
Dennis: Und darüber, das habe ich nicht verstanden, das hast Du hier intern auch so geteilt und dann Ja, da geht's auch noch mal wieder. Haben wir son neues Anmeldeding jetzt?
Dave: Sone ganz Daumen. Haben wir nicht, aber
Jan: ich will doch, also, wo hier Branding, Dennis, Branding, Du willst doch, dass die Leute beim Meetup zuerst auf deine eigene Plattform kommen. Wo Du dir dann hinmeldest zum Anmelden, ist doch ist doch komplett latte, aber die Leute sollen immer erst mal an Programmierpunkt bar denken.
Dennis: Ja. Ah, natürlich, geht mal auf Programmierpunkt bar und ab geht's.
Dave: Ab geht's. Ab geht's. Stitch.
Dennis: So, jetzt zum dritten, fünften Mal versuche ich's.
Jan: Stitch, was von Disney, oder?
Dave: Ja. Dieses dieses Alien. Das Alienviech.
Dennis: Ist einigermaßen 'n Süß trotzdem.
Dave: Ja, aber auch sehr Das hat
Jan: eine gewisse Ähnlichkeit zu Dave, muss man sagen, so. Das stimmt.
Dave: Praktisch. Aber doch, ich glaub, genau, vom Charakter ist auch vom Energielevel und im Herzen wirklich sehr lieb, so. Boah, Dave, ganz
Jan: schön dran. Bei Halloween oder zur Fasching nächstes Jahr war als Stitch komme ich mir zu sagen.
Dave: Oh, ich würd's, ja, ich würd's so machen. Ich ich wollte nicht nur so was blaues an, Lobby Stitch.
Dennis: Doof. Also, Stitch wird jetzt schon 'n bisschen länger, ist 'n Produkt von Google und zwar geht's da Design und zwar letztendlich nennen sich's selbst son bisschen Vibe Design. Da gab's jetzt Mitte März 'n relativ großes Update und es war auch lange Zeit, glaube ich, in Europa War so 1 der Tools, was lange Zeit in Europa nicht verfügbar war, also ist mittlerweile aber auch hier gut nutzbar und was das Ganze ist, ja, also so statt Vibe Coding, Vibe designen, das heißt, man hat ein großes Interface, wo son riesen Canvas ist und hat unten eine Chatbox, in die man reinschreiben oder sprechen kann, Designs zu erstellen und Designs zu erweitern und ja, in der Regel wird erstmal so einen Theme erstellt oder professioneller Designsystem, wo dann eben all die ganzen Corporate Sachen so ein bisschen drin sind. Dahinter steckt auch dann so eine Designmarkdown, also es ist recht ähnlich so wie ein Agenmarkdown, wo halt drin steht, hey, das ist uns wichtig im Design, so soll das unbedingt aussehen. Und ich glaube, man muss sich schon ein bisschen daran gewöhnen, damit zu arbeiten, also weil man dann halt das nennt sich AI Native Interface, das heißt irgendwie, wenn dir was nicht gefällt, dann ziehst Du da so einen Kasten drüber und kommentierst es dann, dann wird das geändert und hat also ein bisschen den Flow und man kann in diesem Sprachmodus ändert das dann gleichzeitig während Du redest irgendwie schon Sachen im Hintergrund. Also ist schon glaube ich sehr anders als Designarbeit, die man so sonst macht. Und ich hab jetzt zum zweiten Mal für ein paar Minuten damit rumgespielt und war zum zweiten Mal nicht besonders begeistert. Bin jetzt natürlich auch kein Designer, aber was man schon mal sagen kann, ist, dass es halt nicht einfach so nicht einfach so ermöglicht, irgendwie eine Erweiterung für ein Design zu machen, was man gerade schon hat. Also ich hab's einmal anhand 1 unserer Spiele probiert. Ich hab halt irgendwie 'n paar Screenshots hochgeladen und wollte dann eigentlich nur so, hey, bau mal einen neuen Button, einen neuen Joker Button an der Stelle, der eine andere Funktionalität hat. Das heißt, eigentlich war alles da von den ganzen Elementen und der hat einfach eine komplett neues Design gemacht, so. Ja. Also sieht super schick aus, so, das was rauskommt, hat irgendwie Stil und sieht cool aus. Das heißt, es kann schon designen und was Schönes machen und jetzt habe ich halt die Programmierberseite als als neues Feature versucht und hab so gesagt, hey Leute mal hier ein Designsystem raus und ja, primäre Farben und Akzentfarben und sowas schön rausgefunden, hat alles funktioniert, aber zum Beispiel denn die Schriftarten, da hing es dann schon, weil anscheinend halt nur ein Set von Fonts auswählbar ist und jetzt nicht die hier unterstützte Font da ist. Und ich meine, wir nutzen halt Museum irgendwie auf der programmier.bar überall. Und wenn Du schon die Hauptfront irgendwie nicht hast im Design, das ändert natürlich schon viel von von dem, wie es aussieht. Und er hat dann ungefragt, eigentlich nur, weil sie ihn gefragt hat, ey, geht das nicht doch irgendwie mit der mit der Front? Kann sich nicht mehr einbauen. Hat er einfach so, hier so, so könnte die neue Homepage ja programmier.bar aussehen und ja, es nutzt die Farben und es hat halt natürlich auch son irgendwie 'n bisschen Hackystyle und weil er halt so sagt, ne, also angepasst an anders Programmieren und sieht auch ganz cool aus, hat aber relativ wenig zu tun mit der Webseite, wie sie aktuell ist. Und jetzt müsste man da vielleicht noch tiefer reingehen und alles mögliche ausprobieren, da irgendwie hinzukommen, das so nutzen zu können. Nur mein erster Take ist da so, okay, es ist halt nicht so ein Also ich glaube, wenn man jetzt was Neues erstellt, Neues erstellen würde und man hat keine Referenz, dann kann das super spannend sein, weil dann Du einfach son son Vibe beschreiben kannst und was was gefällt dir, welchen in welchem Farbraum soll das und ne, dass halt alle Farben zueinander passen und sowas, das macht der dann schon gut. Du kannst dir da praktisch neue Designseile stellen lassen und das ne immer immer weiterentwickeln, aber gerade so die bestehenden Produkte weiterentwickeln oder da mal 'n kleinen Prototypen für zum Entwickeln, da hat es jetzt noch nicht mich überzeugt.
Dave: Ja, da hab ich tatsächlich passenderweise auch 'n LinkedIn Post von 'nem Designer, 'nem richtigen Designer gesehen. Der meinte auch so, ey, supergeil, wenn Du halt so irgendwie so grad irgendwie neue Sachen oder irgendwie Layouting, UI, eigens, also so also generell so Assets, die sehr separat sind so. Das funktioniert damit sehr, sehr gut. Das ist halt auch Figma radio und so was Aber grade so auf Dingen rumiterieren, auch so quasi deine Brand einfach da dem Getreu das nachzubilden, superinkonsisten, so. Es es schwankt so von von jedem Output zum nächsten, von daher dafür nicht benutzbar. Was sehr schade ist, weil ich glaube, das wäre eigentlich ein sehr sehr cooler Anwendungsfall.
Dennis: Ja. Ja. Aber trotzdem vielleicht für die, die halt ne ihre Sachen irgendwie also neue Apps Vibe coden und ein bisschen noch geileres Interface haben wollen.
Dave: Bisschen Vibe Design noch, ja.
Dennis: Also dann einfach noch das auf eine andere Ebene so des Designs heben wollen. Ja. Dafür könnte es glaube ich interessant sein und ja. Aber Gern Gregen,
Jan: Würdest Du das wirklich als sone andere Ebene noch noch beschreiben? Ich hab ja damals das das programmier.bare Analytics Dashboard, das wir da haben für die Podcastzahlen, das hab ich ja auch mit der mit Stitch gemacht, also das Layout mit Stitch gemacht, umgesetzt hat's dann Cloud Code. Und ich war auch son bisschen underwellmt von dem Ergebnis und hab mir gedacht so, wie viel besser ist das jetzt eigentlich, als wenn ich jetzt nur Cloud Code direkt gesagt hätte, ne, machen wir halt mal irgendwie 'n Dashboard, hier sind unsere Primary Colors und hier ist unsere Font und guck dir vielleicht vorher mal die Webseite an, damit son bisschen in dem Stil bleibt. Das wär mit Sicherheit ja auch nicht krass weit weg davon gewesen.
Dennis: Also nach meiner Erfahrung würde ich fast sogar sagen, dass Claude Kurt dabei besser war bis jetzt.
Jan: Also wenn
Dennis: Du irgendwie sagst, krass mach mal bauen wir das genau nach, dass es das 'n bisschen besser getroffen hat.
Dave: Ja.
Dennis: Ich würde es vielleicht so, ich würde sagen, es ist 'n bisschen mehr Arty, wenn Du das machst. Also wenn Du halt wirklich was hast, wo es dir auf son bisschen einen einen Style irgendwie das halt nach Design aussieht. Ich mein, ne, es gibt ja irgendwie Webseiten, die sehen einfach aus wie der Webseite und dashboard sieht vielleicht aus wie ein Dashboard. Obwohl das war glaube ich auch schon schick, wenn ich das in Erinnerung hab, was Du da irgendwo mal gezeigt hast. Aber wenn's halt son bisschen einfach, ja, mehr Design, mehr Style haben soll und das 'n Teil davon ist und nicht nur eigentlich Präsentiere Informationen in einigermaßen schicken schicken Möglichkeiten.
Jan: Ich frag mich, ob das mit so Ich mein, letzte Woche wurde ja auch das der neue Figma MCP Server vorgestellt oder die neuen, ne, Figma hatte ja schon 'n MCP und jetzt mit kam das irgendwie noch mehr. Und ich frag mich, ob das nicht irgendwie so mehr the way to go ist, dass dann halt irgendein anderes, l m und vielleicht einen auf Design spezialisiert ist oder so, aber halt eher das arbeitet in deinen Tools und macht da drin halt irgendwie dein dein Design, als dass das in sonem popriteren Ding wie halt Stitch irgendwie drin landet, wo Du, ne, wie gerade schon sagt, wir können da nicht drauf itrieren, wir können nicht supergut damit weiterarbeiten, ist halt ist halt schwierig.
Dennis: Ja, ja. Aber ich glaube genau, also mal so, wenn Lass uns mal empfehlen für neue Projekte, weil ich glaube, da ist ganz cool. Du kannst nämlich auch tatsächlich einfach so sagen, hey, mach da mal einfach einen Instant Prototype draus, dass man halt auch drauf rumklicken kann. Mhm. Das, ne, funktioniert dann so auch praktisch ja automatisch. Also so einen unfassbaren Prototypen dann zu haben. Also da sind schon 'n paar ganz coole Features drin, deswegen ist ja auch in den News
Dave: News Worty. News Worty.
Jan: Wir haben ja bald wieder Okay. Wir können ja 'n bisschen was testen hier.
Dennis: Oh, stimmt gut. Ja, gut. Okay. Ach so, ich muss ich muss so moderieren, ne.
Dave: Du bist 'n Moderator? Oder jetzt.
Dennis: Moderator. Ja, wir möchten noch gerne Hinweis auf eine fantastische Konferenz geben. In einem halben Satz. In einem halben Satz hat er gesagt. Genau. Möchte er Sie ankündigen. Nein, aber unser lieber Jan ist ja dort seit vielen Jahren Mitorganisator, von der für ihn nach der programmier.bar nach der ProgrammierCon Bestenkonferenz Deutschlands.
Jan: Worum geht es Weltweit eigentlich. Also auch weltweit. ProgrammierCon ist ja weltweit eigentlich schon, spielt die ganz oben mit. Ja. So, ja. Die Sokrates kommt im Prinzip direkt danach, so. Also für alle, die jetzt vielleicht kein Programmierkonticket kriegen, dieses Jahr, ganz gerne noch, weil der Sokrates die Sokrates ist die International Conference für Softwarecraft und Testing, deswegen der Name Sokrates und beschäftigt sich seit, oh, ich glaub 15 Jahren oder so, länger noch, mit allem, was so Softwarecraft angeht. Das sind eher so nachhaltigere Themen, ja? Es wird jetzt weniger Content geben zu, was ist das neueste heiße JavaScript Framework, was unbedingt alle mal probiert haben müssen, sonst geht eher darum so Team Topologien, wie geschaltet man nachhaltige Software, wie kann man irgendwie Projekte so aufziehen, dass sie halt auch in 5 Jahren noch wartbar sind, wie funktionieren Menschen und Maschinen zusammen, was macht guten Quelltext aus, was macht irgendwie technical dept aus? Wie kann man damit umgehen? Ja, so diese Themen sind es da eher und Sokrates war für mich immer so der Ort, wo ich verstanden hab, so, oh, das Schwierige an Softwareschreiben ist eigentlich die Zusammenarbeit mit den Menschen drumherum und nicht das eigentliche Code schreiben, ne. Und wenn man das irgendwie mal verstanden hat oder verstehen will, dann ist man da genau richtig. Warum weisen wir da jetzt schon drauf hin? Das Ganze findet eigentlich erst Ende August statt, aber die Anmeldung startet jetzt heute gleich bald. Verlinken wir auch in den Shownotes und das Ganze ist ein Lotterieystem, weil wir immer mehr Anfragen, Interessenten als Plätze haben. Wir mieten zwar schon das ganze Hotel und die ganze Anlage, aber irgendwann ist er halt Schicht im Schacht. Und weil wir vor einigen Jahren schon gesagt haben, was das irgendwie unfair ist, First come, First surf und so weiter, gibt's halt ein Lotteriesystem. Das heißt, man hat ein paar Wochen Zeit, sich da anzumelden, quasi in der Lotterie und dann wird einmal der Lostopf angeworfen und wir vergeben die Tickets. Das Ganze passiert vielleicht zwei-, dreimal, weil nicht jeder, der die Chance kriegt, kauft dann am Ende auch 'n Ticket oder manche müssen ihr Ticket noch mal zurückgeben, whatever. Mhm. Also man kann da auch, wenn man das erste Mal kein Ticket bekommen hat, durchaus noch eine Chance haben. Aber die Planbarkeit für alle halt irgendwie zu erhöhen, versuchen wir das möglichst früh im Erhalt schon durchzuziehen und deshalb jetzt die Chance nutzen für die Socatoes Anmeldung. Und kleiner Wink, wer der Lotterie entgehen will, der darf gerne 'n Company gesponorters Ticket kaufen, kostet 'n bisschen mehr, aber dafür muss man nicht in den Lust drauf.
Dave: Tick. Schöner Hypersatz, Jan Gregor.
Jan: Hast Du irgendwo 'n Punkt gehört?
Dave: Hast Du 'n Punkt gehört?
Jan: Ich hab keinen Punkt gehört. Ja, true, Fact.
Dennis: Wir wünschen euch ganz schöne Osterfeiertage, genießt die Zeit. Oh, schöne Ostern. Am liebsten. Vor Ostern, es soll ein bisschen Sonne kommen und warme Temperaturen, von daher 20 Grad oder so, boah. Geht mal raus,
Dave: dass ihr wirklich, glaube ich Halt
Dennis: die Nase an die verschluft, ja.
Dave: Außer ihr habt eine Pollenallergie, dann wär's, glaube
Dennis: ich, nämlich gut. Dann haltet ihr den Popo in die Luft. Oh, Türchen, ein sogenannter Frischluftpopo. Habt ihr eine schöne Zeit, bis bald.
Dave: Macht's gut, tschüssi. Bald.
Jan: Tschau, tschau.
Dennis: Tschüss.