Kurz notiert: Die Data-Science-Bibliothek pandas wurde in Version 3.0 veröffentlicht. Auch wenn ein drittes Major-Release erst einmal nach tiefgreifenden Änderungen klingt, ist es tatsächlich nur die SemVer-Versioierung, die für den Major-Release verantwortlich ist, da pandas 3.0 auch ältere Features entfernt, die zuvor deprecated wurden. An sich bleiben natürlich die Grundkonzepte gleich.

Neuerungen

Das pandas-Team hebt drei Neuerungen hervor:

Automatischer String-Typ für Spalten

Wird ein DataFrame erzeugt, ermittelt pandas in vielen Fällen den Datentyp für die Spalte. Wenn z. B. nur Ganzzahlen enthalten sind, ist der Datentyp int. Bei Strings war dies bisher nicht so, wie wurden als der generische Datentyp object aufgelöst und mussten manuell typisiert werden.

Das wird mit pandas 3.0 gelöst, denn String-Spalten erhalten nun automatisch den Typ str. Für diese Umstellung wird ein Migration-Guide bereitgestellt.

Verbesserungen bei Copy-on-Write

Unter Python gibt es eigentlich keine Pointer, womit man sich eigentlich einige Probleme erspart. Trotzdem kann es Referenzen geben, die wie Pointer wirken. Ein Beispiel aus dem Guide:

df = pd.DataFrame({"foo": [1, 2, 3], "bar": [4, 5, 6]})
subset = df["foo"]
subset.iloc[0] = 100

Aus der 1 in "foo" wurde kurzerhand 100, auch wenn nicht der DataFrame direkt geändert werden musste. Das Verhalten …

Das Jahr 2026 steht bevor und ich möchte die Gelegenheit nutzen, um mich bei allen Lesern zu bedanken, die mich auch in diesem Jahr begleitet haben: sowohl auf meinem Blog als auch auf dem Risikozone-Podcast.

Den eigentlichen Jahresrückblick gibt es in der heute erschienenen Risikozone-Episode 90. Dort haben wir schon festgestellt: Abgesehen von ein wenig Cloudflare-„Schluckauf“ war es ein vergleichsweise ruhiges Jahr.

Mit zwölf Artikeln konntet ihr in diesem Jahr jeden Monat etwas von mir lesen. Der Schwerpunkt lag allerdings klar auf dem Podcast: dort kamen noch einmal 26 Episoden dazu.

Für das nächste Jahr – und nebenbei dem Jahr des zehnjährigen Blogbestehens – nehme ich mir vor, den Blog endlich wieder stärker anzupacken, ein paar Neuerungen einzuspielen und vielleicht auch thematische neue Inhalte auszuprobieren. Wie bei vielen OSS-Projekten ist es oft nicht so leicht, dafür konsequent Zeit zu finden - aber gerade deshalb eignet sich der Blog gut für spannende Experimente.

Bis dahin wünsche ich euch einen guten Rutsch in das neue Jahr. Mögen eure Builds stabil sein und die Bugs reproduzierbar (oder am besten gar nicht existieren). Auf ein gutes 2026!

Im Blog thematisiere ich oft Open-Source-Software, aber in der Wissenschaft gibt es ein kleines Geschwisterchen namens Open Access, das ebenso interessant ist. Open Access bedeutet, dass wissenschaftliche Publikationen online frei lesbar sind - idealerweise zusätzlich mit klaren Nachnutzungsrechten wie CC-Lizenzen. Dabei geht es darum, dass der Zugang zu wissenschaftlichen Arbeiten oft durch Bezahlschranken der Verlage eingeschränkt wird. Warum die Rolle der Verlage überhaupt so zustande gekommen ist, hat historische Gründe und ist langjähriger Bestandteil von Diskussionen. Auch hier handelt es sich um ein Geschäftsmodell, das in der analogen Welt seine Berechtigung hatte, sich mit zunehmender Digitalisierung aber immer stärker rechtfertigen - oder gar neu erfinden - muss.

In den vergangenen Jahren nimmt allerdings auch Kritik an den Bezahlschranken zu, zumal viele Forscher, die auf diese Zugänge angewiesen sind, an staatlichen Forschungseinrichtungen arbeiten, die somit sowohl den Zugang zu Forschungsergebnissen als auch die Forschung selbst mit Steuergeld bezahlen müssen. Die oftmals unentgeltliche Tätigkeit für das Peer-Review bleibt hier ganz außen vor. Einige Regierungen und Forschungsförderer haben daher Open-Access-Strategien ins Leben gerufen, die vermehrt Druck auf die Akteure machen. Gerrit hat hierzu auch noch einmal einen kleinen Exkurs geschrieben.

In der Informatik und speziell der IT-Sicherheit haben wir das Glück, vergleichweise …

Die Desktopumgebung KDE hat angekündigt, ab Plasma 6.8 vollständig auf Wayland zu setzen und die Unterstützung für X11 einzustellen. Mit dem Erscheinen dieser Version Anfang 2027 endet damit dort nach rund 30 Jahren die Ära des klassischen X-Fenstersystems.

KDE folgt damit anderen großen Projekten wie GNOME oder Distributionen wie Fedora, die X11 bereits zugunsten von Wayland aufgegeben haben. Erste technische Vorbereitungen erfolgten bereits mit Plasma 6.4, als die X11- und Wayland-Releases von KWin separiert wurden.

Ein kurzer Überblick

Wayland wird seit 2008 entwickelt und verfolgt das Ziel, den in die Jahre gekommenen X-Server abzulösen. Unter X11 versteht man sowohl das zugehörige Netzwerkprotokoll als auch dessen Referenzimplementierung. Als Fenstersystem implementiert X11 eine vollständige Client-Server-Architektur für die Verwaltung grafischer Objekte, die Synchronisation von Eingaben und die Aushandlung von Rendering-Pfaden, wobei es als Bindeglied zwischen Anwendungen, Grafiktreibern und der eigentlichen Display-Hardware fungiert. Das System blickt auf eine über 40-jährige Geschichte zurück und entstand in einer Zeit, in der grafische Unix-Desktops noch kaum verbreitet waren.

Diese historische Last führte zu hoher Komplexität im Protokoll und einer sehr großzügigen Vertrauensarchitektur: Viele Komponenten dürfen ohne separate Berechtigungsprüfung auf Eingabe- und Ausgabedaten zugreifen. Genau dieses Modell ist heutzutage ein Sicherheitsrisiko, etwa weil Malware unter X11 …

Die Webseite des Ubuntu-Derivats Xubuntu wurde kürzlich manipuliert und lieferte Malware aus. Wer also in den vergangen drei Wochen etwas von der Webseite heruntergeladen hat, sollte nochmal nachschauen, was er sich denn konkret heruntergeladen hat. Nach jetziger Erkenntnis wurde wohl eine Windows-Malware (.exe) verbreitet, konkret ein sog. Crypto-Clipper, der nach dem Einnisten die Zwischenablage manipuliert, damit Kriminelle sich in Kryptowährungstranskationen als Empfänger eintragen.

Die Malware wurde zwar somit über die offiziellen Wege verteilt, aber ließ sich für den geübten Nutzer noch unterscheiden. Schlimmer wäre es gewesen, wenn eine manipulierte ISO-Datei verteilt worden wäre.

Aber was schützt uns überhaupt davor? Diese Frage ist tatsächlich gar nicht so einfach zu beantworten, wenn wir davon ausgehen müssen, dass Angreifer Zugang zur Homepage der Distribution erhalten.

Denn effektiv fällt die Checksum bzw. der Hash, sei sie MD5, SHA1, SHA256, SHA512, als Kriterium raus. Sie wird immerhin über den gleichen Weg übermittelt wie der Download selber und kann somit mitmanipuliert werden. Checksums eignen sich allenfalls zur Überprüfung, ob der Download vollständig ist. Damit erfüllen wir das Sicherheitsziel Integrität, aber nicht Authentizität.

Die richtige Antwort lautet natürlich Signatur, meist in Form einer GPG-Signatur, und birgt gleichzeitig eine neue Frage in sich: woher weiß …

Kurz notiert: in den letzten beiden Tagen gab es einige Nachrichten vom Linux-Kernel.

Zuallererst wurde der Kernel in Version 6.17 veröffentlicht. Die Änderungen führen einerseits bessere Steueroption zur Auswahl von Prozessormitigationen, Live-Patching auf 64-Bit Arm sowie einige Verbesserungen an Dateisystemen wie ext4 und Btrfs ein. Die historische Sonderbehandlung von Einprozessorsystemen (ohne SMP) wird rückgebaut. Wer an allen Änderungen im Detail interessiert ist, kann einen Blick in die entsprechenden LWN Artikel oder bei LinuxNews werfen.

Apropos Dateisysteme: das jüngst aufgenommene bcachefs, um das sich vor und während seines Aufenthaltes im Mainline-Zweig viele kontroverse Diskussionen ergaben, wird Mainline im nächsten Release (6.18) voraussichtlich wieder verlassen. Torvalds kündigte im Commit zur Entfernung an, dass es als DKMS-Paket ausgeliefert werden soll.

Damit endet allerdings sicherlich auch die Maßgabe, dass die Module, von denen bcachefs abhängig ist, auf das Dateisystem abgestimmt werden. Hier gab es genau Streit, weil die Änderungen, die Kent Overstreet erwartet hatte, von den zuständigen Maintainern äußerst kritisch aufgenommen wurden. Ob die Änderungen in den anderen Modulen nun wieder zurückgesetzt werden, bleibt abzusehen.

Vor ziemlich genau drei Wochen wurde Debian 13 mit dem Codenamen "trixie" veröffentlicht. Da Debian einen wichtigen Architekturzweig unter Linux bildet, von dem viele Derivate wie z. B. Ubuntu abzweigen, werfen wir heute einen kleinen Blick auf die Veränderungen.

Zahlen, Daten, Fakten

Schaut man in die Veröffentlichungsmeldung, bekommt man einen Überblick, was sich in diesem Release getan hat:

Das Release umfasst nach gut zwei Jahren Entwicklung 69.830 Pakete, wobei 14.100 Zugänge, 8.840 Abgänge und 44.326 Aktualisierungen zu verzeichnen sind. Als Kernel kommt Linux 6.12 LTS zum Einsatz. Gebaut wird mit GCC 14.2 und LLVM 19. Systemd wird in Version 257 genutzt. Bei den Desktopumgebungen sind wir bei GNOME 48, KDE Plasma 6.3, LXDE 13, LXQt 2.1.0 und Xfce 4.20 angekommen. Python wird in Version 3.13, Rust in Version 1.85, OpenSSL in Version 3.5 und PHP in Version 8.4 ausgeliefert. Das gesamte Paketarchiv umfasst 403 GB, wovon auf den meisten Systemen nur ein Bruchteil installiert sein sollte.

Zu den Architekturen:

• Die offizielle 32-Bit-Unterstützung (i386) entfällt ab diesem Release. Verbleibende i386-Pakete für Anwendungen sind nur zur Nutzung auf einem 64-Bit-System mit entsprechendem 64-Bit-Kernel vorgesehen, Stichwort multiarch.
• Für ARM-Nutzer alter Architekturen vor Arm v7, die auf die armel (ARM …

Kurz notiert: Die GNU C Library (glibc) wurde in Version 2.42 veröffentlicht. Der Fokus lag besonders auf Mathefunktionen aus neueren C-Standards, der Einführung von SFrame und der Entfernung des alten termio.h-Headers. Hier eine Auswahl neuer Features in aller Kürze:

• Neue Mathefunktionen, darunter:
  • Einige Funktionen aus der neuen ISO C23 werden nun von math.h unterstützt. In dieser Version kommen konkret Funktion für Potenzen und absolute Werte hinzu.
  • unsigned Abstandfunktionen wie uabs() werden unterstützt.
  • Neue Funktionen wie tanpif() wurden aus dem CORE-MATH-Projekt eingeführt.
• Die Unterstützung für die SFrame ist neu. Sofern mit den ebenfalls frisch veröffentlichten Binuntils 2.45 und dem Flag --enable-sframe gebaut wird, kann das neue Stack-Frame-Information-Format genutzt werden.
• Auf Linux gibt es nun die Funktion pthread_gettid_np() zum Anzeigen der Kernel Thread ID für einen Thread, siehe auch Diskussion.
• termios.h unterstützt nun beliebige Baud-Raten.
• Der tcache von malloc() unterstützt nun das Caching großer Blöcke.
• Die S390-Architektur erhält Unterstützung für die z17-Plattform.

Folgende Features werden entfernt oder betreffen die Kompatibilität:

• termio.h, das seit POSIX.1 aus 1988 veraltet galt, wird entfernt. termios.h ist der Ersatz.
• glibc.rtld.execstack unterstützt nun einen Kompatibilitätsmodus, mit dem Programme einen ausführbaren Stack mittels dynamisch geladener Bibliotheken anfordern können.
• Unterstützung für die TX Lock Elision von pthread …

Kurz notiert: Let's Encrypt hat Anfang des Monats am 4. Juni 2025 den Dienst für die E-Mail-Benachrichtigungen abgeschaltet. Zertifikatsinhaber werden fortan nicht mehr per E-Mail auf ein Auslaufen der Zertifikate hingewiesen. Diese Änderung wurde bereits im Januar angekündigt.

Begründet wird die Entscheidung durch die Kosten für den E-Mail-Versand, die Speicherung der E-Mail-Adressen sowie die Komplexität der Infrastruktur. In der Tat ist der Versand der Benachrichtigungen in einer Größenordnung wie bei Let's Encrypt sehr kostenintensiv, zumal dies über externe Dienstleister abgewickelt werden muss.

Die Speicherung der E-Mail-Adressen ist ein interessanter Punkt, weil insbesondere bei certbot die Adressen standardmäßig immer abgefragt wurden, während man die Angabe bei acme.sh schon länger vermeiden konnte. Dies soll, so mein Verständnis, nun der Standard werden, da Let's Encrypt nicht mehr die E-Mail-Adressen der Zertifikatsinhaber speichern möchte. Für andere Zwecke wurden die E-Mail-Adressen offenbar auch nicht gespeichert, da z. B. das Zurückziehen eines Zertifikates (Revocation) über andere Wege wie den Private Key oder DNS-Verifikation läuft, wie in der Dokumentation beschrieben wird.

Bleibt noch ein letzter Punkt, der im Blogartikel zur Abschaltung angeführt wird: Ein integraler Bestandteil von Let's Encrypt ist Automatisierung. Schon von Anfang an wurden automatisierte Verfahren wie ACME statt einer manuellen Verifikation eingesetzt, …