Bericht von Europas größter Tech-Konferenz Dev-Trends und Web 3.0 auf dem Web Summit 2023

Anbieter zum Thema

Windhoff Group

Zur größten Technologiekonferenz Europas reisten Mitte November mehr als 70.000 Besucher aus aller Welt, um über Web3 zu reden. Über 800 Referenten und Referentinnen, darunter Berühmtheiten mit Expertise in Softwareentwicklung, durften ihre Vision dem Publikum vortragen. Rund 900 VC-Investoren schickten sich auf die Jagd nach dem nächsten Unicorn – oder einem Centaur.

Vom 13. bis zum 16. November 2023 strömten die Teilnehmer des Web Summit in Scharen in die weitläufige Altice Arena, eine der spektakulärsten Konzerthallen Europas (Kapazität: über 20.000), und in den angrenzenden Messepark in Portugals historischer Hauptstadt Lissabon.

Das Wetter spielte mit; man konnte aufatmen, sich umschauen und Kontakte knüpfen – zum Beispiel mit der Web Summit App. Die zahllosen architektonischen Anspielungen auf Portugals historische Errungenschaften in der Erkundung neuer Welten weckten Entdeckungslust und Neugier. Die erfrischende Atlantikbrise hat es nur noch verstärkt – dieses Mal jedoch mit einem zeitgemäß strikten Fokus auf das Digitale. Irgendwie aber doch passend!

Kurs auf Web 3.0, mit vollen Segeln voraus

Web3 (a.k.a. Web 3.0) steht für das digitaltransformierte, hypervernetzte Zeitalter, in dem einst disruptive Ideen eine neue Realität schaffen. Dezentralisierte Anwendungen, immersive Erlebniswelten, tokenisierte Vermögenswerte: das Web der Zukunft ist KI-gestützt, ereignisgetrieben und allgegenwärtig.

Web 1.0 ließ sich wie ein offenes Buch lesen. Web 2.0 war das auf freiwilliger Basis partizipative, transaktionale und multimediale Web, mit E-Commerce und den sozialen Netzwerken.

Web 3.0 (a.k.a. Web3) soll das immersive Web werden, aus dem das Metaversum hervorkommen will – eine Welt von virtuellen Erlebnissen, die die physische Realität über allgegenwärtige Sensorik „anfühlen“ kann, per Blockchain an neuartige Zahlungssysteme „ankettet“ und zu guter Letzt per KI steuern will. IoT/IIoT, IoB und IoE (Internet of Everything) – überall steckt Softwarecode dahinter.

Web3-Technologien können „zwischen den Zeilen lesen“ und möglicherweise die Absicht hinter einer Handlung erkennen – die KI macht solche Vorhersagen möglich. Das sollte doch besser wie vorgesehen funktionieren. Auf dieser digitalen Reise möchten sowohl Investoren und Investorinnen als auch Developer am Lenkrad sitzen. Zahlreiche von ihnen suchten auf dem Web Summit nach Klarheit und Orientierung und wurden im „The German Park“ fündig.

Highlights der Messe: The German Park

Deutschland setzte mit der größten Messepräsenz aller Gastländer ein klares Zeichen: „The German Park“ belegte mit den Messeständern seiner rund 143 Firmen, darunter Startups, eine von vier Hallen. „The German Pavilon“ und brachte es unter dem Motto „Creating Tomorrow Today“ auf eine Ausstellungsfläche von stolzen 648m2. („The German Pavilion“ ist eine feste Präsenz auf vielen internationalen Messen mit dem Ziel, den Markteintritt deutscher Unternehmen zu erleichtern.)

„The German Park“ war Standort zahlreicher Veranstaltungen – von Keynotes über Wettbewerbe bis hin zu Panel-Diskussionen. Zu den Highlights zählten die Pitching-Session „Cybersicherheit, KI & SaaS“ auf Deutsch – die mobile App Web Summit ließ sich zur Echtzeit-Übersetzung verleiten.

• SAVIAN UG (haftungsbeschränkt) aus Darmstadt präsentierte die hauseigene Datenaustauschplattform für Unternehmen.

• Die Respeak GmbH aus Karlsruhe entwickelt leistungsstarke Suchdienste auf der Basis großer Sprachmodelle.

• Die Airrange Software GmbH aus Krailling hat eigenen Aussagen zufolge „die einzige No-Code-Entwicklungsschmiede für Apps rund um Berechnungen und Zahlen“ im Excel-Stil im Köcher.

• Die Kertos GmbH aus München bietet eine Automatisierungsplattform für Datensicherheit und Compliance an.

• Die Gemesys GmbH aus Bochum entwickelt neuartige Hardwarebeschleuniger für KI und will damit einen Paradigmenwechsel einleiten. Die analogen Chips von Gemesys funktionieren nach dem Vorbild des menschlichen Gehirns.

Auf den Wellen der KI-Revolution

Künstliche Intelligenz (KI) schien auf dem Web Summit 2023 fast alle Anwesenden zu fesseln. Selbst die Thematik der Cyber- und Datensicherheit ließ sich davon nicht trennen. Im Kontext der Verwundbarkeit von Softwareversorgungsketten trat die KI erst recht in den Vordergrund.

Praktisch kein Startup traute sich, ohne KI seinen Hut in den Ring zu werfen – ganz im Gegenteil. Künstliche Intelligenz stand im Mittelpunkt – und dahinter Vertreter einflussreicher Interessengruppen, prominente Softwareanbieter und weltberühmte Entwickler/innen. Einige der Geschäftskontakte, die beim Web Summit geknüpft wurden, führten zu weiteren Treffen in den Büros von Multivision, der ITK-Wachstumsberatung für Software-Ingenieurwesen im Outsourcing und Nearshore, die unter anderem für die Siemens-Gruppe arbeitet.

Die Softwareschmiede NodeSource, die führende Node.js-Spezialistin aus dem kalifornischen San Francisco, nutzte das Web Summit, um eine neuartige KI-gestützte DevSecOps-Lösung vorzustellen.N|Solid Copilot, der Co-Steuermann für Node.js-Anwendungen Am 15. November, dem dritten Tag vom Web Summit, gab NodeSource, der Marktführer in den Bereichen Beobachtbarkeit, Anwendungsmanagement, Monitoring und Sicherheit von Node.js, den Start des N|Solid Copilot bekannt.

Beim N|Solid Copilot handelt es sich um einen KI-Assistenten, der in die Konsole von N|Solid Pro integriert ist. Der N|Solid Copilot nutzt die Plattform N|Solid Pro, um „die detailliertesten“ Telemetriedaten für Anwendungen zu erfassen, und kombiniert diese mit dem Fachwissen der Node.js-Experten des Unternehmens und Technologien von OpenAI. Diese Lösung schafft ganz neuartige Möglichkeiten, um die Kreativität der Entwicklungsteams zu entfesseln.

Der N|Solid Copilot kann sich aus den Metriken einer Anwendung den Kontext zusammenreimen. Das Werkzeug lässt sich in Echtzeit einrichten, um aufkommende Probleme zeitnah zu bewältigen, und kann auch proaktiv helfen, die Leistung und Sicherheit von Anwendungen zu verbessern.

Im exklusiven Interview mit Dev-Insider am Tag der Veröffentlichung von N|Solid Copilot ließ sich Russ Whitman, CEO von NodeSource, in die Karten blicken: „Wir haben ja schon in der Vergangenheit maschinelles Lernen und andere allgemeine APIs verwendet, um verschiedene Aufgaben zu erledigen und potenzielle Probleme vorherzusagen“, beobachtet er. Das Aufkommen generativer KI habe viele neue Szenarien ermöglicht. „Jetzt können wir endlich diese reichhaltigen Daten aufgreifen, die Node.js-Anwendungen in der Produktion [also bei der Bereitstellung – Anm. d. Redaktion] erzeugen, und sie verwerten. Es gibt keine KI ohne hochwertige Daten“, konstatierte Whitman.

Doch es kommt noch besser: „Anstatt nur Diagramme, Grafiken und Datenpunkte zu sammeln, die ein/e Entwickler/in irgendwie verstehen und miteinander verknüpfen“ müsse, gebe es jetzt „einen ausgebildeten KI-Experten“, jederzeit einem/einer jederzeit hilfsbereit zur Seite stehe. „Sie können jetzt einfach unsere KI mal eben fragen: ‚Warum ist diese Anwendung so langsam?‘, und die KI wird ihnen tatsächlich sagen, wo das Problem liegt“, freute sich Whitman.

In der Zukunft dürfte die KI sogar helfen, den Code zu generieren, mit dem sich das Problem dann auch tatsächlich beheben ließe. Das Ziel sei es, dem Loop der Softwareentwicklung sozusagen auf die Sprünge zu helfen: „Wir sehen das heute schon bei generativer Codeerzeugung, wie GitHub Copilot und anderen KI-Tools, die [autark] coden“, argumentierte Whitman. Denn diese Software werde immer noch Leistungsprobleme haben, weil das, wie sie in der realen Welt funktioniert, fast immer anders sei als im Test. Die KI werde diesen Loop schließen und auf eben diese Weise beschleunigen.

Auf dem Unterbau des quelloffenen Node.js-Laufzeitsystems biete NSolid Pro „die besten Observability-Daten für Anwendungsleistung und Sicherheit auf dem Markt“ für ein massiv trainiertes GenAI-Modell – so lautet etwa das Rezept für die Geheimsauce.

Da das Urheberrecht in Bezug auf KI-generierten Code ein heikles Thema darstellt, wollte man sich bei NodeSource absichern. Die Software erzeuge derzeit lediglich „Referenzcode und keinen […] fertigen Code“. Die Absicht dahinter: Der Referenzcode überlässt dem/der Entwickler/in die endgültige Entscheidung, inwiefern er einsatzfähig bzw. anpassungswürdig sein mag.

Socket: am kurzen Draht zu LLMs

Ein kalifornisches Startup namens Socket erweitert DevSecOps-Pipelines um KI-gestützte Fähigkeiten, um Attacken aus der Softwareversorgungskette auszumerzen. Im exklusiven Interview mit Dev-Insider auf dem Web Summit in Lissabon sprach Feross Aboukhadijeh, Mitgründer von Socket und Gastdozent an der Universität Stanford, über die Herausforderungen quelloffener Abhängigkeiten und die Lösung von Socket.

Menschen würden dazu neigen, quelloffener Software zu vertrauen, frei nach dem Motto von Linus Torvalds: „Wo viele Augen sind, da liegen alle Bugs auf der Hand“, sagte Aboukhadijeh (im O-Ton von Torvalds: „With many eyes, all bugs are shallow“). „Das mag ja stimmen,“ bestätigt Aboukhadijeh, fragt dann aber rhetorisch: „Wenn Sie einen Code einspielen, der gerade gestern veröffentlicht wurde, wie viele Augen haben ihn tatsächlich angesehen?“

Die meisten Entwickler müssten eine beinahe erdrückende Anzahl von Abhängigkeiten handhaben. Die Discord-App mit ihren 20.000 Abhängigkeiten sei ein Beispiel von vielen. Tools wie der Paketmanager npm und das Framework Electron hätten es möglich gemacht. Ein einziger scheinbar harmloser Aufruf von npm update könne rund ein Viertel der gesamten Codebasis eines Projektes mal eben in einem Atemzug auswechseln.

Viele Entwickler und Entwicklerinnen seien in der Vergangenheit beim Aktualisieren ihrer quelloffenen Abhängigkeiten nach dem Prinzip „Augen zu und durch“ vorgegangen, nur habe der Ansatz im Zeitalter von Supply-Chain-Attacken ausgedient, glaubt Aboukhadijeh. Als einer der Vordenker der Open-Source-Bewegung hatte er ja selbst zahlreiche beliebte Anwendungen mitentwickelt (darunter zum Beispiel WebTorrent) und pflegt über 100 eigene quelloffene Projekte, die er der Gemeinde schenkte.

„Das größte Risiko, was quelloffene Software betrifft – und ich sage das als ein Open-Source-Maintainer – […] besteht aus meiner Sicht darin, dass ein Paket von einer bösartigen Drittpartei übernommen wird“, enthüllt er. Schuld daran seien Entwickler-Burnout und die daraus resultierende Bereitschaft (oder auch Notwendigkeit), die Kontrolle an andere Gemeindemitglieder zu übertragen.

Doch das sei bei Weitem nicht alles. „Wir haben gesehen, dass die Maintainer selbst bösartig werden können“, führt Aboukhadijeh weiter aus. Der medienwirksame Vorfall mit den quelloffenen Bibliotheken colors.js und faker.js habe dieses Risiko anschaulich illustriert. Diese beiden Projekte wurden von einer einzelnen Person verwaltet, hatten aber Zehnmillionen Downloads pro Monat „auf dem Tacho“. Amazons eigenes Cloud-Entwicklungs-Kit (CDK) nutzte diese Bibliotheken, um die AWS-Cloud der Nutzer zu verwalten.

In einer überraschenden Wendung entschied sich der Maintainer, seine eigenen Projekte zu sabotieren, und hat den Cloud-Usern gehörig Angst eingejagt. Das Problem sei natürlich nicht auf Open Source beschränkt, denn auch ein unzufriedener Mitarbeiter könne ja Unfug anrichten.

Socket könne Abhilfe schaffen. „Wir analysieren und beurteilen – unter anderem, aber nicht nur – quelloffenen Code, ob er risikobehaftet ist oder nicht“, erläutert Aboukhadijeh. Das Ergebnis ist eine Zahl auf der Skala von 0 bis 100 Punkten. So würde eine lebensechte Malware in dem Bewertungssystem von Socket von den möglichen 100 Punkten eine runde Null einheimsen.

Socket nistet sich direkt im DevSecOps-Workflow ein und verrichtet dann seine Arbeit in zwei Phasen: mit einem regelbasierten Framework und dann mit einem LLM (Large Language Model), also per KI. Socket nutzt die Erreichbarkeitsanalyse, also eine Technik, mit der es herausfindet, ob eine verwundbare Funktion tatsächlich vom Anwendungscode aufgerufen wird. „Das ermöglicht es uns, etwa 95 Prozent der Schwachstellen, die praktisch nicht ausnutzbar sind, [aus der Zu-Erledigen-Liste] zu eliminieren“, um die ganze Aufmerksamkeit den wirklich relevanten Verwundbarkeit zu widmen, erläutert der Sicherheitsforscher.

„Dann tun wir noch etwas anderes: Wir nutzen LLMs, um dem Entwickler die Tragweite zu erklären, und wir verwenden es als zusätzlichen Filterungsschritt, was ziemlich einzigartig ist, denke ich“, erklärt er. Denn so könne Socket dem/der Entwickler/in in natürlicher Sprache die Risiken erläutern. Das verschafft DevSecOps-Teams die nötigen Informationen, um sich auf wesentliche Aspekte der Sicherheit ihrer Softwareversorgungskette zu konzentrieren.

Fazit

Die Botschaft des Web Summit 2023 war laut und unmissverständlich: „Künstliche Intelligenz verschlingt die Welt“ – oder anders ausgedrückt: „Ohne KI läuft heute nichts mehr.“ Ursprünglich hieß „Software is eating the world“ – jenen Leitspruch hatte seinerzeit Marc Andreessen geprägt, Mitentwickler des ersten Web-Browsers mit Massenappeal und ein einflussreicher Risikokapitalgeber aus dem Silicon Valley. Heute setzt sich Andreessen für Web3-Startups wie Socket ein.

Im Wettstreit um die Aufmerksamkeit der Venture Capitalists (VCs) auf dem Web Summit in Lissabon legten Jungunternehmer und -unternehmerinnen großen Wert darauf, die Zukunft auf den Wellen der KI-Revolution zu reiten. Künstliche Intelligenz war in aller Munde; alles andere schien in den Hintergrund zu treten. Mal schauen, was das kommende Jahr 2024 mit diese neuen Werkzeugen und Ansätzen den Entwicklern/innen bringen mag.

(ID:49802594)