DevOps on JAVAPRO Germany

Großes Kino für Java-Entwickler & Architekten

Wed, 08 Apr 2026 12:00:36 +0000

JCON EUROPE 2026 | 20. bis 23. April 2026 | Cinedom in Köln

Wer heute über moderne Softwareentwicklung spricht, spricht zwangsläufig über Java. Kaum eine Technologie prägt die Enterprise-Welt so nachhaltig – und kaum eine Community ist gleichzeitig so lebendig, vielfältig und innovationsgetrieben. Genau hier setzt die JCON an: als Treffpunkt, als Plattform und als Erlebnisraum für Entwicklerinnen und Entwickler aus der ganzen Welt. Mit Teilnehmern aus über 70 Ländern hat sich die JCON längst zu einem internationalen Treffpunkt entwickelt. Dabei bleiben Offenheit, Wissensaustausch und Community-Gedanke zentrale Elemente.

DevOps-Patterns und Java 26 für On-Premises LLM-Plattformen in sicherheitskritischen Umgebungen

Mon, 06 Apr 2026 07:00:00 +0000

Während die erste Welle der KI-Adoption in vielen Organisationen auf Cloud-APIs setzte, ist dieser Ansatz in sicherheitskritischen und regulierten Umgebungen häufig nicht nutzbar. Vertraulichkeitsanforderungen, Datenschutzvorgaben und der Bedarf an technisch durchsetzbaren Betriebsgrenzen stehen dem entgegen. In On-Premises-Setups erweitert sich die Architektur um zusätzliche Laufzeitkomponenten, etwa LLM-Serving, Retrieval und Wissensartefakte wie Indizes und Prompts. Der Fokus verschiebt sich damit von der reinen Modellnutzung zur Plattformfrage: Wie lassen sich Datenzugriffe und Berechtigungen entlang der Pipeline kontrollieren? Wie bleiben Änderungen an Modellen, Prompts und Indizes nachvollziehbar? Und wie lassen sich Fehlerfälle reproduzierbar eingrenzen und zurückrollen?

Schluss mit YAML: Cloud-Infrastruktur in purem Java definieren, testen und deployen

Mon, 09 Mar 2026 07:03:25 +0000

Als Java-Entwickler brüsten wir uns gerne mit professioneller, ingenieursmäßiger Entwicklung: Typsicherheit, Unit-Tests, Refactoring, Code-Reviews. Dann müssen wir ein Deployment durchführen und schreiben plötzlich hunderte Zeilen YAML, akzeptieren mangelnde Ausdrucksstärke, fehlende Abstraktionen und fehlende Flexibilität als alternativlos. Oder schlimmer: Wir loggen uns in die Cloud-Konsole ein und klicken uns zum Deployment durch.

Dieser Artikel möchte eine Alternative vorstellen: Cloud-Infrastruktur in Java definieren, mit denselben Werkzeugen und Best Practices, die wir für Anwendungscode verwenden. Wir bauen ein funktionierendes Beispiel: einen Java-Service, der auf AWS ausgerollt wird, und decken den gesamten Lebenszyklus ab: von der Ressourcendefinition über Tests bis hin zu CI/CD. Das Beispiel verwendet Quarkus, die gezeigten Infrastruktur-Patterns lassen sich aber genauso auf Spring Boot, Jakarta EE oder jedes andere containerisierte Java-Framework anwenden. Der begleitende Code ist hier verfügbar: github.com/wlami/stop-writing-yaml-javapro.

Reproduzierbare Entwicklungsumgebungen

Mon, 23 Feb 2026 07:02:10 +0000

Einleitung

Für die meisten Entwickler weckt der Begriff Onboarding schlechte Erinnerungen und Frustration: veraltete Anleitungen im Wiki, fehlende Abhängigkeiten, undokumentierte Besonderheiten, inkompatible Tool-Versionen und das berüchtigte „works on my machine“. Ganz gleich, ob neue Mitarbeiter einem Team beitreten oder erfahrene Entwickler zwischen Projekten wechseln – Der Einstieg in ein neues Projekt fühlt sich wie eine Schnitzeljagd an, der Stunden oder sogar Tage kostet, bevor produktive Arbeit möglich ist.

Erfahrungsberichte und Studien stützen dieses Gefühl. Teams unterschätzen dabei oft, wie viel Produktivität, Motivation und Entwicklungsgeschwindigkeit durch diese Inkonsistenzen verloren gehen.

Code. Collaboration. Community.

Mon, 01 Dec 2025 07:01:12 +0000

JCON USA @ IBM TechXchange 2025 – wo der Java-Spirit in Orlando ein neues Zuhause fand

Als das JCON-Team ankündigte, seine etablierte Java-Konferenzreihe über den Atlantik zu bringen, waren die Erwartungen hoch. JCON Europe gilt seit Jahren als Pflichttermin für Java-Entwickler – lebendig, technisch anspruchsvoll und stark community-getrieben. Die erste US-Ausgabe, JCON USA @ IBM TechXchange 2025, erfüllte diese Erwartungen nicht nur, sondern übertraf sie. Entwickler aus aller Welt kamen nach Orlando zusammen, um drei Tage lang Java in all seinen Facetten zu feiern.

Ist Java Cloud-nativ?

Mon, 14 Jul 2025 07:00:00 +0000

2025 feiert Java sein 30-jähriges Bestehen und erfreut sich nach wie vor großer Beliebtheit. Dank der hervorragenden Abwärtskompatibilität, der engagierten Community sowie der Vielzahl an Tools und Lösungen zur Erleichterung der Entwicklung mit Java bleibt die Plattform die bevorzugte Wahl für Unternehmensanwendungen.

Wenn es allerdings um Cloud-native Programmiersprachen geht, zeichnen sich Go, JavaScript, Ruby, Kotlin oder Rust durch ihre besonders hohe Geschwindigkeit und Effizienz sowie Benutzerfreundlichkeit aus – Eigenschaften, die sie zur bevorzugten Wahl für neue Projekte machen. Auch WebAssembly (Wasm) wird bei der Webentwicklung immer beliebter. Die Fähigkeit von Java zur Erstellung Cloud-nativer Programme wird allerdings oft mit Vorsicht genossen.

So beschleunigen sie existierende Deployments mit den richtigen JVM-Features

Mon, 21 Apr 2025 07:00:11 +0000

In der heutigen Tech-Landschaft sehen sich Java-Anwendungen mit einer entscheidenden Herausforderung konfrontiert. Unternehmen müssen steigenden Performance-Anforderungen gerecht werden und gleichzeitig die Kosten für die Infrastruktur unter Kontrolle halten – und das ohne kostspielige Neuentwicklungen.

Diese Herausforderung hat sich mit der Einführung von Cloud Computing noch weiter verschärft. Jede Millisekunde Latenz und jedes Megabyte an Speicher wirken sich nun direkt auf die laufenden Kosten aus. Die Zahlen sind beachtlich: Basierend auf meinen Erfahrungen können schlecht konfigurierte JVMs die Cloud-Kosten um 30–50 % erhöhen. Für große Unternehmen entspricht das Millionen an vermeidbaren Ausgaben.

Bewährte Praktiken für CI/CD Pipelines

Wed, 30 Nov 2022 17:51:53 +0000

Diese Praktiken sollen eine Vorstellung davon vermitteln, wie einige Probleme in modernen CI/CD-Pipelines gelöst und was vermieden werden sollte. Verwenden Sie diese Muster als Richtlinie beim Implementieren Ihrer eigenen Pipelines.

Executive Order und der Solarwinds Hack - Was bedeutet das für uns?

Fri, 25 Nov 2022 12:46:44 +0000

In den letzten zwei Jahren haben wir einiges im Bereich Cybersecurity lernen müssen. Die neuen Angriffsvektoren werden immer mehr ausgefeilter und richten sich immer mehr gegen die Wertschöpfungskette im allgemeinen. Aber was bedeutet das für uns? Was kann man dagegen unternehmen und welche Reaktionen sind von staatlicher Seite schon erfolgt?

Beginnen wir hier mit der Geschichte die all das hier ins rollen gebracht hat und dafür sorgte das die allgemeine Aufmerksamkeit auf die Verwundbarkeiten der generellen IT Infrastruktur gelenkt worden ist. Die Rede ist hier von dem SolarWinds Hack. Was passierte hier und was noch wichtiger ist; Was sind die lessons learned aus diesem Vorfall?

Cybersecurity - Was ist SAST, DAST, IAST und RASP? - ein kleines Intro

Wed, 27 Jul 2022 10:27:40 +0000

In diesem Beitrag werden wir uns die Unterschiede der verschiedenen Abwehrtechniken im Bereich der Cybersecurity ansehen. Hier kann man vier Hauptgruppen identifizieren, die wir eine nach der anderen kurz durchgehen werden um die Vor- und Nach-teile darzustellen.

Wer das Video zu diesem Blogpost

auf Youtube sehen möchte:

https://youtu.be/pA1UnQ6J6Nc

SAST - Static Application Security Testing

SAST bezeichnet den Vorgang bei dem die Komponenten von einer Anwendung einer statischen Analyse unterzogen werden. Hierbei werden nicht nur Sicherheitslücken gesucht, sondern auch die Lizenzen der einzelnen Elemente bestimmt. Im nachfolgenden werde ich mich in diesem Beitrag allerdings ausschließlich um die Betrachtung der Vulnerabilities kümmern.

Die Zukunft von Containern - Was kommt als Nächstes?

Wed, 15 Jun 2022 17:29:13 +0000

Vielleicht haben Sie schon die Schlagworte gehört, die in aller Munde sind, wenn es um die Zukunft von Containern geht. Seltsame Namen wie “Micro-VMs”… “Unikernel”… “Sandboxes”… Haben Sie sich gefragt, was diese Dinge sind und wie Sie sie nutzen können? Oder sollten Sie diese überhaupt verwenden?

Die typische Lebenslinie einer Sicherheitslücke

Wed, 30 Jun 2021 11:00:42 +0000

**Immer wieder lesen wir in den IT-Nachrichten etwas über gefundene Sicherheitslücken. Je schwerer die Einstufung dieser Lücke ist, desto mehr Aufmerksamkeit bekommen diese Informationen in der allgemeinen Presse. Über all die gefundenen Sicherheitslücken, die nicht den Bekanntheitsgrad von zum Beispiel dem SolarWinds Hack erlangen, hört und liest man meistens nichts. Aber wie ist die typische Lebenslinie einer solchen Sicherheitslücke? ** Beginnen wir mit der Geburt einer Sicherheitslücke. Das kann auf zwei unterschiedlich motivierte Arten geschehen. Zum einen kann es jedem Entwickler passieren, dass er durch eine unglückliche Kombination von Quelltextstücken eine Sicherheitslücke erzeugt. Zum anderen kann es auch auf einer gezielten Manipulation beruhen. Allerdings hat das im Wesentlichen keine Auswirkungen auf den weiteren Verlauf der Lebenslinie einer Sicherheitslücke. Wir gehen im nachfolgenden einfach davon aus, dass eine Sicherheitslücke erzeugt worden ist und diese sich nun aktiv in irgendeiner Software befindet. Dabei kann es sich um ausführbare Programme handeln oder auch um angebotene Bibliotheken die als Dependency in andere Softwareprojekte eingebunden wird.

Die Herausforderungen der Softwareverteilung

Tue, 16 Feb 2021 10:43:16 +0000

Die Softwareentwicklung hängt immer mehr von externen Abhängigkeiten (Dependencies) ab und die Häufigkeit der Deployments nimmt zu. Beide Trends zusammen sind schon eine Anforderung an die bestehenden Infrastrukturen. Ein weiteres Element, das die Bereitstellung von Software in einen Netzwerkengpass verwandelt, ist die Verwendung zusammengesetzter (compounded) Artefakte. Und der vierte Trend, der gegen uns arbeitet, ist die rapide ansteigende Anzahl von Geräten die als Konsumenten in Frage kommen. Alle diese Trends zusammen sind eine Herausforderung für die Infrastruktur. Aber was könnten wir dagegen tun?

DevSecOps - 101

Thu, 28 Jan 2021 17:20:00 +0000

Ich musste über ein Thema nachdenken, das mich Kunden oder Teilnehmer von Konferenzen seit längerer Zeit wiederholt fragen. Die Frage ist fast immer:

Was sind die “quick wins” oder “low hanging fruits”, wenn Sie sich mehr mit dem Thema Sicherheit in der Softwareentwicklung befassen möchten?

Und genau diese Frage möchte ich jetzt aus meiner Sicht heraus beantworten und beginnen mit einem Ausdruck, der in der Geschäftswelt häufig verwendet wird.

Diesen Artikel gibt es auch als Youtube Video auf meinem Kanal und ist zu finden unter

OpenJDK Amazon-Corretto

Fri, 11 Dec 2020 14:22:15 +0000

Anfang 2019 wurde Amazon-Corretto 8, eine kostenlose, plattformübergreifende Distribution von OpenJDK für Java 8 veröffentlicht. Kurz darauf kam Amazon-Corretto 11 für Java 11 hinzu. Amazon setzt intern Corretto bei Tausenden von produktiven Workloads ein und hat auf Basis dieser Erfahrung Verbesserungen hinsichtlich Sicherheit, Stabilität oder Leistung im OpenJDK-Projekt beigesteuert. In diesem Artikel betrachten wir genauer, welche spezifischen Vorteile Amazon-Corretto bietet.

Die Installation von Amazon-Corretto

Amazon-Corretto 11 ist als Headless-Variante verfügbar. Diese Variante enthält keine Laufzeitabhängigkeiten, die in der Regel mit GUI-Anwendungen wie X11 und ASLA verbunden sind, und ist für serverseitige Workloads sinnvoll. Im folgenden werden die Installationsanweisungen für Amazon-Linux 2 gezeigt. Amazon-Linux 2 ist die nächste Generation von Amazon-Linux, einem Linux-Server-Betriebssystem von Amazon-Web-Services (AWS). Es bietet eine sichere, stabile und hochleistungsfähige Ausführungsumgebung zur Entwicklung und Ausführung von Cloud- und Unternehmensanwendungen.

Security-by-Design-Projekte in Zeiten der Datendämmerung

Tue, 22 Sep 2020 09:23:31 +0000

*Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Unter anderem gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diesem Grundrecht trägt die neue EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 verstärkt Rechnung. Sie gilt für alle Unternehmen, Behörden und Freiberufler, die personenbezogene Daten von EU-Bürgern verarbeiten. Es wird also ernst für Verantwortliche bei der Verarbeitung von Daten. Diese sind nun unmittelbar verpflichtet, alle sich aus der Neuerung ergebenden Auflagen und Pflichten zu erfüllen. ** Im Kapitel 1 Art. 4 der EU-DS-GVO finden sich die dazu passenden Begriffsbestimmungen für folgende Schlüsselbegriffe: „Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ „Verarbeitung: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ *

Die Tücken des Cloud-Computing

Fri, 07 Aug 2020 10:08:22 +0000

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Unternehmensnetze. Die enormen Datenmengen jedoch, die Cloud-Server beherbergen, machen sie zu einem attraktiven Ziel für Hackerangriffe. Was sind die häufigsten Risiken und welche konkreten Empfehlungen gibt es, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren?

Ein Unternehmen ist für den Schutz seiner Daten selbst verantwortlich. Im Falle einer öffentlich gewordenen Datenpanne drohen Ermittlungsverfahren, Strafanzeigen, Rechtsstreitigkeiten und daraus resultierende Umsatzeinbußen sowie nachhaltiger Reputationsverlust. Daher gilt bei der Wahl des Cloud-Anbieters ein besonderes Augenmerk auf physische und digitale Sicherheitskontrollen zu werfen.

Prototyping spart Zeit und Kosten

Thu, 09 Jul 2020 16:51:10 +0000

Heute muss Software zügig entwickelt und produktiv gesetzt werden (Time-to-Market). Dabei kann Prototyping helfen, die Effizienz im Entwicklungsprozess zu verbessern. Allerdings gilt es sorgfältig zu überlegen, welche Prototyping-Methode zum eigenen Projekt passt. Softwareentwicklung ist eine sehr dynamische Disziplin, in der sich die Anforderungen schnell ändern. Häufig entwickelt die Auftraggeberseite eine Reihe von Anforderungen oder User-Stories, obwohl sie das entsprechende Resultat nicht genau einschätzen kann. Das Entwicklerteam macht sich Gedanken und arbeitet an einem repräsentablen Stakeholder. Wenn dieser jedoch hinter den Erwartungen zurückbleibt, weil die Anlage zur Visualisierung anfänglicher Anforderungen fehlt, kann es passieren, dass so ein Projekt komplett neu auf die Spur gesetzt werden muss. Das führt im Ergebnis zu einem erhöhten Budgetbedarf für die Produktentwicklung. Um den Ablauf und dementsprechend das Budget zu optimieren, können verschiedene Ansätze verfolgt werden: Proof-of-Concept, Wireframes, Funktionales Prototyping, MVP (Minimum Viable Product) oder ein Pilotprojekt. Dieser Artikel konzentriert sich auf das Prototyping:

Monolithen und Microservices sind keine Gegensätze

Tue, 12 May 2020 15:19:38 +0000

**Microservices sind in - Monolithen sind out. Diese einfache Formel wird der Programmier-Realität nicht gerecht. Denn nach wie vor kämpfen Microservices mit diversen Schwächen, während monolithische Architekturen immer noch eine ganze Reihe systembedingter Vorzüge besitzen. Clevere Programmierer nutzen deshalb mit modernem Software Engineering die komplementären Stärken beider Ansätze. ** Microservices-Architekturen sind nicht umsonst aktuell so beliebt, denn ihre Vorteile sind evident: Sie sind sauber strukturiert, granular skalierbar, ressourcenschonend, leicht erweiterbar und unterstützen die agile Software-Entwicklung in Teams. Dieser Habenseite stehen allerdings einige gravierende Nachteile gegenüber. Der für IT-Abteilungen vielleicht wichtigste ist die Komplexität von Microservice-Strukturen. Denn das Microservice-Portfolio gerät schnell in einen unübersichtlichen Wildwuchs, der nur mit viel Aufwand hinsichtlich Transparenz, Verwaltung und Kommunikation in den Griff zu bekommen ist. Das bindet zwar produktive Ressourcen, ist aber auch deshalb unumgänglich, weil mit der wachsenden Zahl von Microservices das Sicherheitsrisiko steigt. Denn mit ihren APIs, über die sie mit der Außenwelt kommunizieren, sind sie ein beliebtes Angriffsziel von Cyberattacken. Mit den Nachteilen von Microservices wurden prinzipiell bereits die Vorteile monolithisch aufgebauter Software-Architekturen beschrieben. Das ergibt sich aus der Tatsache, dass beide sich in ihren Eigenschaften und Merkmalen fast komplementär zueinander verhalten. Monolithen sind architektonisch einfacher, leichter auszurollen und häufig performanter als Microservices. Letzteres gilt, wenn eine App mit einer Microservices-Architektur zum Beispiel 20 bis 30 API-Aufrufe an 20 bis 30 unterschiedliche Microservices benötigt, um eine einzelne Eingabemaske zu laden, was zulasten der Performance geht. Demgegenüber kommunizieren die Software-Komponenten eines Monolithen in der Regel wesentlich performanter miteinander. Monolithen haben jedoch auch einige gravierende Nachteile: Sie skalieren nur “an einem Stück”, gelten deshalb als Ressourcenfresser und als schwerfällig, wenn es um die agile Einführung neuer Technologien wie das IoT oder KI geht.