Schedule FrOSCon 2026

Events

Saturday Sunday

Saturday

09:30
30 min
10:00
180 min

Linux Treiber Workshop

Eine Einführung in die Linux Treiberprogrammierung
Development Workshop (C117) de
Dieser Workshop gibt einen ersten kleinen Einblick in die Linux Treiber Programmierung. Ziel ist es eine 7 Segment Anzeige über einen kleinen Linux Treiber auf einem Raspberry Pi anzusteuern.
Der Workshop ist interaktiv und das gelernte Wissen kann sofort angewendet werden. Benötigt wird nur ein Laptop, die Raspberry Pis und weitere Hardware werden gestellt. Folgende Themen werden im Workshop behandelt: Wie können Geräte über den Device Tree & Overlays hinzugefügt werden? Was macht der Kernel? Hello World Treiber für ein Device Tree Gerät Wie schreibe ich ein Makefile für einen Linux Treiber? Wie werden GPIOs in einen Linux Treiber angesteuert? Wie kommuniziere ich über ein Character Device File & ioctl mit einem Treiber? Benötigte Software bei GNU/Linux: Texteditor, ssh und sshfs. Bei Fremdbetriebssystemen bitte eigenständig nach geeigneten Alternativen suchen. Benötigte Hardware: Laptop mit USB A und Ethernet Port (zum Anschluss des Raspberry Pis) oder USB A und Ethernet Dongle. Vorkenntnisse: Erfahrung in der Programmiersprache C (Pointer, Funktionspointer) Sichere Navigation in der Bash Optional: Grundkenntnisse über Makefiles
10:00
60 min

OpenStreetMap jenseits der Karte

Ein Erfahrungsbericht aus der Immobilienbewertung
GIS HS 6 de
OpenStreetMap enthält zahlreiche Informationen, die für die Bewertung der Lage einer Immobilie relevant sind: Supermärkte, Schulen, Krankenhäuser, ÖPNV-Haltestellen und vieles mehr. In Kombination mit OpenRouteService lassen sich außerdem...
Unsere Anwendung unterstützt Banken dabei, für die Kreditvergabe den Wert von Immobilien zu ermitteln. Ein entscheidender Faktor ist dabei die Lage – unter anderem die Erreichbarkeit relevanter Points of Interest (POIs) wie Einkaufsmöglichkeiten, Freizeiteinrichtungen, öffentliche Verkehrsmittel und Bildungseinrichtungen. Diese POI-Daten beziehen wir mithilfe einer Python-Library direkt aus OpenStreetMap, verarbeiten sie weiter und speichern sie nach fachlichen Anpassungen in unserer Datenbank. Für die Suche nach nahegelegenen POIs zu einer Adresse sowie für die Berechnung von Entfernungen mit verschiedenen Verkehrsmitteln setzen wir auf eine lokale Instanz von OpenRouteService. Im produktiven Betrieb ergeben sich dabei mehrere Herausforderungen: Wie lassen sich die von OpenRouteService genutzten Daten aktuell halten, ohne dass es zu langen Unterbrechungen kommt? Wie lässt sich die Performance verbessern, ohne fachlich relevante Informationen zu verlieren? Dazu kommen fachliche Sonderfälle: Unsere Anwendung konzentriert sich auf Deutschland. In Grenznähe sollen Einkaufsmöglichkeiten im Nachbarland berücksichtigt werden, Schulen hingegen nicht. Eine nachvollziehbare Anforderung,...
10:00
60 min

Weg von Dropbox & Co.: Einstieg in OpenCloud Selfhosting

Installation, Betrieb und erste Schritte für Einsteiger
It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 4 de
In diesem Vortrag schauen wir uns an, wie OpenCloud funktioniert und wie sich in kurzer Zeit eine eigene Instanz aufsetzen lässt. Ziel des Vortrags ist es, den Einstieg in OpenCloud möglichst praxisnah zu zeigen.
OpenCloud ist eine moderne Open-Source-Alternative zu proprietären Fileclouds wie Dropbox, Google Drive oder OneDrive. Der Fokus liegt auf einfacher Installation, geringem Betriebsaufwand und Echtzeit-Kollaboration ohne komplexes Legacy-Setup. In diesem Vortrag schauen wir uns an, wie OpenCloud funktioniert, welche Vor- und Nachteile Selfhosting mit sich bringt und wie man in kurzer Zeit eine eigene Instanz betreibt. Der Vortrag richtet sich ausdrücklich an Einsteigerinnen und Einsteiger im Bereich Selfhosting und Private Cloud. Statt tief in Architekturdetails einzusteigen, liegt der Fokus auf einem praxisnahen Einstieg: * Was kann OpenCloud heute? * Für wen lohnt sich Selfhosting überhaupt? * Welche Hardware wird benötigt? * Wie läuft die Installation mit Docker oder Podman? * Wie funktionieren Benutzer, Freigaben und Kollaboration? * Welche Grenzen und typischen Fehler sollte man kennen? Am Ende sollen die Teilnehmenden die Grundlagen von OpenCloud verstehen und in der Lage sein, selbst eine eigene Instanz aufzusetzen und zu betreiben.
10:00
60 min

Jiu Jitsu mit dem Quellcode

Einfache Versionskontrolle mit jj
Lower the barriers – How to make OSS accessible for everyone HS 5 de
Wollen wir mehr Leute, die an Open Source mitarbeiten? Ja klar! Aber da ist schon das erste Hindernis: git. Um git produktiv zu nutzen, muss man viele Konzepte lernen — den Index, Branches, Commits, Rebases und eine Vielzahl inkompatibler...
Aber es geht auch einfacher: Ju-Jutsu (jj) ist eine neue Versionsverwaltung, die mit minimalen Konzepten auskommt und leicht zu lernen ist. (Bei mir hat es gerade mal einen Nachmittag gedauert, um mich in jj zurechtzufinden!) jj ist auf das Entwickeln an einem zentralen Repo optimiert. Als Storage-Format benutzt es git — man kann seinen Klon einfach zu jj „upgraden“, ohne dass die anderen Developer das auch müssen. Da jede Aktion sicher rückgängig gemacht werden kann, gibt es keine Sackgassen mehr. Und Branches brauchen keine Namen, so kann man kinderleicht auch mal etwas einfach ausprobieren. In diesem Talk möchte ich euch jj als Versionskontrolle kurz vorstellen und vorführen, wie entspannt Versionskontrolle sein kann.
10:00
60 min

Supply Chain Security in the PHP Ecosystem

Security HS 7 en
Every modern PHP application is built on a foundation of third-party packages, each with its own dependencies and its own trust assumptions. Recent supply chain attacks in neighbouring ecosystems have made it painfully clear that what ends up in...
Every modern PHP application is built on a foundation of third-party packages, each with its own dependencies and its own trust assumptions. Recent supply chain attacks in neighbouring ecosystems have made it painfully clear that what ends up in your vendor directory matters as much as the code you write yourself. For years, the PHP ecosystem relied on informal tooling to keep vulnerable packages out: reports printed after an install had already completed, and a clever abuse of the dependency resolver's conflict rules to make known-bad versions uninstallable. Recent Composer versions have replaced both with something stronger: advisory enforcement has moved into the resolver itself, and the same machinery has been generalised so that malware flags, policy rules, and whatever category comes next can plug into the same pipeline. This talk walks through the PHP software stack's supply chain from the bottom up. Where does advisory data come from, and how is it aggregated? How do resolver-level blocking and filter lists actually work? How do they relate to, and supersede, the older tooling? Where can the new defaults bite you in ways a passive audit never did? And what should both...
10:00
60 min

Der Cyber Resilience Act: Wo stehen wir?

Marktüberwachung, harmonisierte Normen und was das für FOSS bedeutet
Security HS 1/2 de
Was bedeutet der CRA Mitte 2026 konkret für Open-Source-Entwickler, Maintainer und Stiftungen, wo die Meldepflicht unmittelbar bevorsteht und die ersten harmonisierten Normen entstehen? Eine Bestandsaufnahme aus Sicht der Marktüberwachung und der...
Mit der Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) gibt es erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen im EU-Recht. Veröffentlicht am 20. November 2024, in Kraft seit 10. Dezember 2024, schließt der CRA eine zentrale Lücke im europäischen Cybersicherheitsrahmen: die Produktsicherheit. Er verpflichtet Hersteller, Importeure und Händler zu Security by Design und strukturiertem Schwachstellenmanagement über den gesamten Produktlebenszyklus. Ab dem 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle, ab dem 11. Dezember 2027 ist der CRA vollständig anwendbar. Mitte 2026 lohnt sich eine Bestandsaufnahme aus Sicht der Marktüberwachung und aus Sicht derjenigen, die an den harmonisierten Normen mitschreiben, über die Hersteller den Konformitätsnachweis führen können. Der Vortrag gibt zunächst einen kompakten Überblick: Anwendungsbereich des Gesetzes, Risikoklassifizierung, wichtige und kritische Produkte, Herstellerpflichten und Timeline. Die Europäische Kommission hat seit Ende 2025 schrittweise Umsetzungshilfen veröffentlicht: ein FAQ-Dokument (Dezember 2025), einen ersten...
10:00
150 min

RSA-2D and other CrypTool RSA web apps

Deeply understand the maths underlying RSA from scratch
Security Workshop (C115) en
This workshop introduces the RSA-2D web app (at the time of the cfp still work in progress) and related RSA apps in the CrypTool online portfolio. RSA-2D uses a new geometric visualization of RSA based on the Chinese Remainder Theorem, which...
This workshop introduces the RSA-2D web app as well as other CrypTool RSA related webapps, our interactive educational deep dive tools for exploring the foundations of RSA cryptography. The workshop focuses on the algebra behind RSA, including RSA exponents, the RSA modulus n, and the requirement that the exponent be coprime to \varphi(n). A central topic is the Chinese Remainder Theorem and its visualization through the geometric RSA-2D model. Participants will learn how modular arithmetic and RSA structures can be represented geometrically to support a deeper conceptual understanding. The workshop also addresses the encoding process in RSA, including the transformation of alphabetic text into numbers, the influence of different encodings, and the role of varying block lengths. Additional visualizations illustrate RSA operations and fixed points of RSA. Participants will be able to experiment interactively with parameters, encodings, and visual models within the web app. The workshop is aimed at students and teachers interested in mathematics, cryptography, and interactive digital learning tools.
10:00
60 min

PegaProx – Was Proxmox im Enterprise-Umfeld gefehlt hat

Zentrales Multi-Cluster Management, Automatisierung und Skalierung für moderne Proxmox-Infrastrukturen in Enterprise-Umgebungen.
System Administration HS 8 de
In diesem Vortrag starten wir mit einer kurzen Vorstellung des Projekts und der eigentlichen Idee dahinter, sowie einem kurzen Abriss über die Entstehung eines zentrales Management-Tool für Proxmox Cluster und deren Vorteile in verschiedenen...
10:00
60 min

Googlefrei und Spaß dabei?

Vergleichender Erfahrungsbericht zu LinageOS, e-OS und GrapheneOS
Unbreak your phone – A life without iOS and Android HS 3 de
Googlefrei und Spaß dabei? Vergleichender Erfahrungsbericht zu LinageOS, e-OS und GrapheneOS Motivation und Inhalt: Digitale Teilhabe ohne Aufgabe der informationellen Selbstbestimmung“, so lässt sich kurz zusammenfassen, was mich bei der Nutzung...
Neben der Vorstellung der Köpfe hinter den OS soll insbesondere die Installation beleuchtet werden, die bislang eine der größten Hürden darstellte, dank moderner Webinstaller aber mittlerweile selbst für weniger versierte Nutzer relativ einfach durchzuführen ist. Je nach gewähltem OS unterscheiden sich die Updatezyklen und die erforderlichen Schritten insbesondere bei OS-Upgrades deutlich, letztere finden noch nicht bei allen CustomROMs „over the air“ statt und erfordern in diesen Fällen die vollständige Neueinrichtung eines Gerätes. Für den Vortrag würde ich auch Geräte mit den vorgestellten OS mitbringen, um den Teilnehmern auch einen Eindruck vom „Look and Feel“ vermitteln zu können, oder auch mal die Installation spezifischer Apps zu testen. Vorgesehene Gliederung des Vortrags: Motivation Warum sollte man überhaupt ein mobiles Dasein ohne Google führen wollen? Custom-ROMs - Ist das überhaupt legal? Kurzeinführung AOSP Übersicht der nicht-quelloffenen Android-Bestandteile Übliche Einschränkungen LinageOS - Der Klassiker Besonderheiten des OS Verfügbarkeit/Geräteauswahl Installation Updates und Releasewechsel Alltag: Stabilität, Verfügbarkeit von Apps, Eindruck als "Daily...
11:15
60 min

Verkehrstatistiken mit DAVe

Open Source von München nach Wolfsburg
GIS HS 6 de
DAVe ist eine Software, mit der Verkehrsstatistiken ausgewertet und dargestellt werden können. Neben vielen Analysefunktionen ist die Darstellung von Verkehrsflüssen als Knotestrombelastungsdiagramm das Herzstück der Anwendung. Entwickelt wurde...
Der Vortrag umfasst drei wesentliche Themenblöcke: Fachlich - was macht DAVe und braucht meine Stadt das auch? Technik - wie funktioniert DAVe und kann ich das auch betreiben? Koordination - wie kriegt man ein Projekt mit mehreren Bundesländern organisiert?
11:15
60 min

Nerds gefährden die digitale Souveränität ihrer Familie

Wie die IT-Notfall-Dokumentation helfen kann
It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 4 de
Unser Leben wird heutzutage von digitalen Diensten und Informationstechnologie (IT) bestimmt. Während einige Menschen große Freude empfinden, wenn sie sich mit Technologie beschäftigen, hat diese für andere Meschen mehr von schwarzer Magie. Dieser...
Ich bin in meiner Familie der Nerd. Ich kümmere mich um den Internetzugang, das WLAN, das Dokumenten-Management-System, die Speicherung der Familienfotos, etc. Ja, manchmal kümmere ich mich sogar um Drucker. Meine Familie vertraut darauf, dass das Heimnetzwerk und dessen Dienste die meiste Zeit des Jahres reibungslos funktionieren. Und wenn dies nicht der Fall ist, ist es mein Job, die Sache wieder in Ordnung zu bringen. Erkennt ihr euch in dieser Beschreibung wieder? Dann habe ich Fragen an euch. Stellt euch vor, dass ihr eines Tages nicht mehr für eure Familie da sein könnt und eure Angehörigen plötzlich allein mit der IT-Umgebung zurechtkommen müssen, die ihr hinterlassen habt. - Wie bereitet ihr eure Familie auf diesen Fall vor? - Habt ihr mit euren Angehörigen mal über dieses Thema gesprochen? - Wie dokumentiert ihr euer Heimnetzwerk, sodass eure Angehörigen etwas mit der Dokumentation anfangen können? Mit meinem Vortrag möchte ich ein Bewusstsein dafür schaffen, was es für die Angehörigen von uns Nerds bedeuten kann, wenn wir uns plötzlich nicht mehr um das Heimnetzwerk und die Dienste, die wir darin betreiben, kümmern können. Ich habe 2024 damit begonnen, eine...
11:15
60 min

Modernes UX-Design und neurodivergente Barrierefreiheit

Lower the barriers – How to make OSS accessible for everyone HS 5 de
Moderne Barrierefreiheit wendet sich primäre an Benutzer mit physischen Einschränkungen. Neuere Studien gehen von ca. einem Drittel der Weltbevölkerung aus, die keine körperlichen sondern Einschränkungen und somit neurodivergent sind (im IT-Umfeld...
11:15
60 min

TLS, mTLS, SNI, ECH, CAA, HTTPS, PKI, Zertifikate und ein bisschen PQC

Der pragmatische Blick auf das Transport Layer Security Ökosystem
Security HS 7 de
Seitdem Edward Snowden 2013 die weltweite Überwachung öffentlich machte, hat sich Transport Layer Security als Transportverschlüsselung durchgesetzt. Seit der Veröffentlichung von TLS 1.3 im Jahr 2018 sind ein paar Jahre vergangen, es hat sich...
11:15
60 min

Prototype Fund: Rückblick und Bewerbung

Someone gonna pay - is it you? – Funding for Open Source HS 1/2 de
Der Prototype Fund ist das erste niedrigschwellige Förderprogramm für freie Entwickler*innen in Deutschland, die innovative Open-Source-Software aus der Gesellschaft und für die Gesellschaft entwickeln. Die seit 2017 bestehende Maßnahme des BMFTR...
(wird nachgereicht. siehe "Subimission notes")
11:15
60 min

QEMU on speed: microVMs in Proxmox

Geschwindigkeit, Sicherheit und ein Patch für Proxmox
System Administration HS 8 de
Zwischen LXC-Containern und vollständigen QEMU-VMs klafft eine Lücke: Workloads die echte VM-Isolation brauchen, aber keine 8 Sekunden Bootzeit wollen. microVMs schließen diese Lücke – kein BIOS, kein PCI-Bus, Direct Kernel Boot in unter 200ms....
QEMU ist mächtig – und träge. Wer eine VM startet, bekommt SeaBIOS, PCI-Bus-Scan, emuliertes VGA und ein Dutzend Geräte die kein Workload je anfasst. Das Ergebnis: 6–10 Sekunden bis zum Login, auch wenn der Gast nur drei Prozesse braucht. microVMs sind die Aufputschmittel. Mit dem QEMU microvm machine type fliegt der gesamte Legacy-Stack raus: kein BIOS, kein PCI, kein Bootloader. Stattdessen Direct Kernel Boot und virtio über MMIO – der Kernel startet direkt in den Gast, unter 200ms, bei echter KVM-Isolation. Firecracker geht denselben Weg noch konsequenter: ~50.000 Zeilen Rust statt 1,5 Millionen Zeilen C, ein eingebauter jailer der den VMM-Prozess per seccomp und Namespaces einsperrt, und eine minimale Gerätelist die VENOM-Klasse-Exploits schlicht unmöglich macht. Wir schauen uns an wo QEMU microvm und Firecracker sich technisch unterscheiden – in Performance, Angriffsfläche und Isolation – und wann welcher Ansatz die richtige Wahl ist. Den Abschluss macht ein minimaler Proxmox-Patch der microVMs als vollwertige dritte Virtualisierungsklasse neben LXC und QEMU in PVE integriert – inklusive Web UI, Templates und Backup. Live-Demo auf echter Hardware: Stoppuhr läuft.
11:15
60 min

App-Kompatibilität für alle

Android-Apps auf alternativen Mobil-Betriebssystemen
Unbreak your phone – A life without iOS and Android HS 3 de
Im Alltag werden immer öfter Apps benötigt, die nicht für alternative Smartphone-Betriebssysteme bereitgestellt werden. Messaging, Online Banking, Tickets, Behörden - fast überall wird ausschließlich an Google's Android und Apple's iOS gedacht. In...
In dem Vortrag werden die folgenden Themen behandelt: - Was braucht es für vollwertige App-Kompatibilität? - Wie funktioniert GrapheneOS Sandboxed Google Play? - Wie funktioniert microG? Wie kann man microG nutzen? - Wie kann ich Android Apps auf Linux Mobile ausführen? - Ausblick
12:30
60 min

Adventures in Open Source Development

The Good, the Bad and the Ugly
Culture HS 1/2 en
What does the everyday life of an independent Open Source Maintainer look like? What is the process like to take an idea from nothing and build, develop, and maintain it over years of time? What are the bright sides and the dark sides of working...
Oftentimes when imagining how Open Source Software is developed, the following sort of picture is painted: teams of dozens of developers coordinating happily, handling constant software maintenance with a smile on their faces and often provided with company funding. This is an ideal picture that sadly and all too often doesn't reflect reality, especially for small to medium sized or highly specialized projects. The question remains: what is it like to create, develop, and maintain an Open Source project independently or with a small-sized team and an unsure funding situation? Over thirteen years ago Gina Häußge created her own Open Source Project "OctoPrint" and has been running and maintaining it ever since; full time since 2014 and funded entirely by donations and sponsors since 2016. In this talk Gina will give some insights into her every day job as a full time independent OSS developer. She will be speaking about the good, the bad, and the ugly sides of her daily work while providing hints to other OSS developers on developing and maintaining a long term project and how to handle challenges that may be commonly encountered.
13:45
60 min

ftrace – dem Kernel bei der Arbeit zusehen

Development HS 6 de
ftrace ermöglicht interessante Einblicke in die Abläufe eines Linux-Systems durch Logging auf Kernel-Ebene. Der Vortrag bietet eine praxisnahe Einführung in ftrace mit zahlreichen Beispielen.
ftrace umfasst verschiedene Logging-Möglichkeiten, die seit langem Bestandteil des Linux Kernels sind. Obwohl sich ftrace primär an Kernel-Entwickler richtet, ist es generell ein interessantes Werkzeug, um die Abläufe in einem Linux-System besser zu verstehen. Die gängigen Linux-Distributionen unterstützen ftrace in ihren Standard-Kernels. Im einfachsten Fall lässt sich ftrace ohne Installation weiterer Tools auf der Kommandozeile mit echo und cat bedienen. Mit dem Vortrag möchte ich die ZuhörerInnen motivieren, ftrace selbst auszuprobieren und zu sehen, wo es für ihre Fehlersuche nützlich sein kann. Der Vortrag erklärt die grundlegende Bedienung und stellt die Tracer für Funktionen und Events vor. Es wird gezeigt, wie man mit Hilfe von Filtern, Probes und Triggern genau die Daten sehen kann, die zur Fehlersuche wichtig sind. Zum Abschluss gibt es noch einen Einblick in die Implementierung von ftrace. Für alle vorgestellten Features werden Beispiele auf der Kommandozeile gezeigt.
13:45
90 min

OpenStreetMap – Kartieren für Einsteiger

GIS Workshop (C115) de
Ein Überblick über die verschiedenen Arten und Weisen wie man als Einsteiger bei OpenStreetMap direkt mitmachen kann und von den ersten kleinen Schritten hin zu den Grundlagen der Kartierung kommt.
Der Einstieg in das Kartieren bei OpenStreetMap kann zunächst etwas einschüchternd wirken, insbesondere wenn man wenig oder gar keine Vorkenntnisse über die Werkzeuge, Konzepte und Arbeitsabläufe zur Erstellung einer Karte hat. OpenStreetMap heißt als gemeinschaftliches Projekt jede neue mitwirkdende MapperIn herzlich willkommen und unterstützt sie indem es Werkzeuge bereitstellt die auch für Anfänger geeignet sind. In diesem Workshop werden einige dieser Tools vorgestellt, allen voran der „iD Editor“, der Standard Karteneditor auf openstreetmap.org. Anhand einiger Beispiele für typische Situationen beim Mappen werden die Grundlangen der Kartierung vermittelt. Außerdem werden die Besonderheiten der OSM-Community, hilfreiche Dokumentation sowie die wichtigsten Konzepte des Daten- und Tagging-Modells von OpenStreetMap besprochen. Der Workshop richtet sich an neue Mitwirkende bei OpenStreetMap sowie solche mit relativ wenig Mapping-Erfahrung. Begonnen wird dabei mit den ersten Schritten von der Erstellung des OSM Kontos, dem Kennenlernen der Oberfläche des Karteneditors und den Grundlagen der Kartenbearbeitung. Anschließend werden die grundlegenden Konzepte des Datenmodells von...
13:45
60 min

Schreibtischaktivismus

Mit Tastatur und Maus echte Veränderung bewirken
It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 4 de
Du hast Fähigkeiten, die anderen helfen. Dieser Vortrag zeigt dir, wie du von zu Hause lokale Wirkung entfaltest, ohne Vollzeit-Aktivist zu sein.
Glaubst du, dass eh nichts passiert? Dieser Vortrag ist eine Einladung: Du kannst programmieren, schreiben, gestalten oder analysieren? Dann hast du Werkzeuge in der Hand, die Bewegungen, Kommunen und Entscheider wirklich erreichen. Schreibtischaktivismus öffnet eine Tür für alle, die nicht jeden Samstag auf der Straße stehen können. Wir schauen uns an, was Aktivismus ist, warum er sich von Slacktivism unterscheidet, und vor allem: wie die Kette von der Idee bis zur Umsetzung aussieht und was DU tun kannst. Vom Wikipedia-Artikel über das selbst gebaute Verkehrsmessgerät bis zum kommunalen Versuchslabor. Es gibt mehr Hebelpunkte als du denkst, und die meisten liegen direkt vor dir. Konkrete Beispiele aus Gießen zeigen, wie kleine Aktionen größere Wellen schlagen: ein Leerstandsmelder, eine Nextbike-Analyse, eine Frühlingsdemonstration und was daraus wurde. #EinfachMachen
13:45
60 min

Digitale Teilhabe neu denken

Unsere Erfahrungen aus dem Digital Empowerment Project
Lower the barriers – How to make OSS accessible for everyone HS 5 de
Digitale Teilhabe scheitert oft nicht an fehlender Hardware, sondern an unzugänglichem Wissen, komplexen Tools und dem Gefühl, dass digitale Lösungen nicht für zivilgesellschaftliche Akteur:innen gemacht sind. Das Digital Empowerment Project...
Viele Vereine, Initiativen und zivilgesellschaftliche Gruppen scheuen den Weg zu Open-Source-Lösungen nicht wegen technischer Unzulänglichkeiten, sondern aufgrund von Informationsdefiziten, der Angst vor Komplexität und dem Mangel an vertrauenswürdigen Ansprechpartner:innen. Oft wird Barrierefreiheit bei Open Source Software primär als technische Anforderung (z. B. WCAG-Richtlinien) verstanden. Das Digital Empowerment Project geht jedoch weiter: Wir identifizieren fehlendes Wissen über Alternativen, mangelnde Vertrauensräume und unzureichende Anleitungen für Open-Source-Tools. In unserem Vortrag teilen wir unsere praktischen Erfahrungen aus dem Projekt. Wir stellen unseren ganzheitlichen Ansatz vor, der einen einfachen Selbstcheck (Digi-Self-Check), praktische Beratung (Digi-Coach) und handlungsorientierte Leitfäden (Digi-Guide) kombiniert, um den Einstieg in eine selbstbestimmte, datenschutzkonforme digitale Welt zu erleichtern. Besonders heben wir unsere Arbeit mit Zielgruppen hervor, die zwar bereits den Willen zum Wechsel hin zu Open Source, aber bisher noch keinen Einstiegspunkt haben und zeigen wie nutzer:innenzentrierte Kommunikation Vertrauen aufbauen kann. Der Vortrag...
13:45
150 min

Rhetorisches Schach

Other Workshop (C117) de
„Der Chef will mal wieder Unmögliches.“ Und jetzt? Direkt widersprechen? Schweigen? Nachfragen? Umlenken? Zustimmen? Oder den anderen dazu bringen, selbst zur gewünschten Lösung zu kommen? Der Workshop beschäftigt sich mit strategischer...
„Der Chef will mal wieder Unmögliches.“ „Kannst du das nicht einfach schnell ändern?“ „Der Kunde will eine Deadline, bevor überhaupt klar ist, worum es geht.“ Im technischen Umfeld entscheiden oft nicht nur Fachwissen und Architektur über den Verlauf eines Projekts, sondern Kommunikation. Gerade Entwicklerinnen und Entwickler geraten dabei häufig in Situationen, in denen sie unter Druck argumentieren, Grenzen setzen, Konflikte entschärfen oder Gespräche gezielt lenken müssen. Der Workshop betrachtet Gesprächsführung als eine Art rhetorisches Schachspiel: A macht einen Zug. Was ist nun der beste Zug von B? Wann lohnt sich Widerspruch? Wann hilft Schweigen mehr als Argumentieren? Wie lenkt man Gespräche, ohne dominant zu wirken? Und wie bringt man andere dazu, selbst auf eine tragfähige Lösung zu kommen? Themen des Workshops sind unter anderem aktives Zuhören, Spiegeln, Reframing, Paraphrasieren, Perspektivwechsel, Konkretisieren statt Abstraktion, Wahrnehmung von Emotionen, rhetorische Themenverschiebung sowie strategische Gesprächslenkung in Diskussionen zwischen Entwicklern, Management und Kunden. Je nach Gruppengröße und Dynamik sind praktische Übungen mit dem Publikum...
13:45
60 min

Freie Software und der Cyber Resilience Act

Was die Community "wirklich" will
Security HS 7 de
Der Cyber Resilience Act (CRA) der Europäischen Union stellt die Freie-Software-Gemeinschaft vor neue Herausforderungen. Wir haben die Community gefragt, was sie für Bedenken hat und was sie braucht. Dieser Vortrag präsentiert die Ergebnisse...
Der Cyber Resilience Act (CRA) der Europäischen Union stellt die Freie-Software-Gemeinschaft vor neue Herausforderungen. Artikel 25 des CRA eröffnet dabei einen vielversprechenden Weg: freiwillige Sicherheitsnachweisprogramme (*voluntary security attestation programmes*), die es Entwicklerinnen und Maintainern ermöglichen sollen, die Konformität ihrer Projekte mit den Cybersicherheitsanforderungen der Verordnung nachzuweisen – ohne dabei die Prinzipien Freier Software zu untergraben. Doch wie sollen solche Programme konkret aussehen? Wer soll sie tragen? Welche Anforderungen sind realistisch, welche kontraproduktiv? Um diese Fragen nicht im regulatorischen Vakuum zu beantworten, wurde eine breite Umfrage in der Open-Source-Community durchgeführt. Ziel war es, Entwicklerinnen, Maintainer, Unternehmen und andere Beteiligte zu befragen, wie freiwillige Attestierungsprogramme gestaltet sein müssten, um tatsächlich nützlich – und nicht zur bürokratischen Last – zu werden. Dieser Vortrag präsentiert die Ergebnisse dieser Umfrage. Wir beleuchten, welche Erwartungen und Bedenken die Community gegenüber einem solchen Programm hegt: Wie viel Aufwand gilt als zumutbar? Welche...
13:45
60 min

curl: Mehr als HTTP

Protokollübergreifendes Troubleshooting
System Administration HS 8 de
curl ist das Schweizer Taschenmesser für Netzwerkprotokolle – plattformübergreifend auf Windows, macOS und Linux verfügbar. Dieser Vortrag zeigt, wie Admins und Developer curl weit über HTTP/HTTPS hinaus für die Fehlersuche in modernen...
curl ist in jeder Infrastruktur vorhanden – und wird dennoch meist nur als HTTP-Client verwendet. Dabei steckt in diesem kleinen Tool weit mehr: curl beherrscht Dutzende Protokolle und ist damit das ideale, plattformunabhängige Werkzeug für die Fehlersuche im Alltag. Dieser praxisorientierte Vortrag zeigt anhand realer Problemstellungen, wie curl für typische Admin- und Entwickleraufgaben eingesetzt werden kann: Test und Debugging von REST-APIs (PUT, POST, OPTIONS, Header-Analyse) Überprüfung von Ingress-Konfigurationen in Kubernetes-Umgebungen Versand von Test-E-Mails direkt über SMTP – ohne Mailclient Ausführung und Analyse von LDAP-Queries Vergleich von HTTP- vs. HTTPS-Verbindungen und TLS-Zertifikat-Debugging Verbose-Output lesen und verstehen: Was curl wirklich sagt Alle Beispiele stammen aus dem echten Supportalltag und sind sofort in der eigenen Umgebung nachvollziehbar. Wer curl bisher nur für curl https://example.com benutzt hat, wird diesen Talk mit einem deutlich erweiterten Werkzeugkasten verlassen.
13:45
60 min

Push-Benachrichtigungen. Dezentral und OpenSource

Unbreak your phone – A life without iOS and Android HS 3 de
Linux on Mobile wird kommen. Eine Frage, für die dabei eine Antwort gefunden werden muss, ist: Wie kommen Push-Benachrichtigungen ohne Google (FCM) oder Apple (APNS) auf die Smartphones, ohne dabei den Akku leerzusaugen? Auf freien Android-Geräten...
UnifiedPush ist ein Framework, mit dem Push-Benachrichtigungen dezentral bzw über selbst betriebene Server zugestellt werden können. Zahlreiche Open Source Android Apps unterstützen bereits UnifiedPush. Unter anderem: Tusky, Fedilab, DAVx⁵, Fennec, Element und viele mehr. Dieser Vortrag erklärt, wie Push-Benachrichtigungen im Allgemeinen funktionieren und warum sie trotz ihres eventuell schlechten Rufes eleganter sind, als jede App eine eigene Serververbindung aufbauen zu lassen. Des Weiteren werden mögliche Privacy-Probleme erörtert, die mit der Benutzung von Google Push Servern einhergehen. Anschließend wird die Architektur von UnifiedPush erklärt. Der Vortrag endet mit einer praktischen Anleitung, wie man UnifiedPush auf einem Android-Handy benutzt und wie es in Zukunft auf Linux Handys aussehen wird.
13:45
60 min

Ich habe meine Stimme verschenkt – und jetzt?!

Vertrauen, Identität und die Konsequenzen hochwertiger KI-Stimmen
Who can you trust? – Making and accepting contributions in 2026 HS 1/2 de
2019 habe ich meine eigene Stimme als Open-Source-Datensatz veröffentlicht. Seitdem erlebe ich regelmäßg die Auswirkungen davon. Erlebe, wie Menschen mit "meiner Stimme" Dinge sagen, auf die ich keinen Einfluss habe. Hochwertige KI-Stimmen sind...
Die menschliche Stimme galt lange als eines unserer verlässlichsten Identitätsmerkmale. Diese Gewissheit schwindet. KI kann heute jede Stimme täuschend echt imitieren, inklusive Emotionen, auf Basis weniger Sekunden Originalmaterial. Der „Enkeltrick 2.0" ist keine Zukunftsvision mehr. Reale Fälle, wie von der Slowakei-Wahl 2023 bis zum Biden-Deepfake 2024 zeigen, dass dies längst Realität ist. Der Vortrag nimmt meine persönliche Erfahrung als Stimmenspender als Ausgangspunkt und stellt gesellschaftlich relevante Fragen. Was bedeutet es, wenn Stimmen nicht mehr als Identitätsmerkmal taugen, welche Chancen und Risiken birgt das? Gleichzeitig geht es um die Frage, wer die Kontrolle über hochwertige KI-Stimmen behält: Große Technologiekonzerne oder die Open-Source-Community? Der Talk richtet sich an alle, die verstehen wollen, was auf dem Spiel steht und was freie Software dabei leisten kann und muss.
15:00
60 min

Können Lizenzbedingungen Open Data und Open Content vor KI schützen?

Culture HS 1/2 de
Öffentlich zugängliche Quellen für Wissen und Daten, wie Wikipedia oder OpenStreetMap, sind dem Ansturm von KI-Bots kaum noch gewachsen. Auch die Idee hinter Open Data und Open Content wird durch die KI-Nutzung gefährdet, mindestens aber infrage...
Öffentlich zugängliche Quellen für Wissen und Daten, wie Wikipedia oder OpenStreetMap, sind dem Ansturm von KI-Bots kaum noch gewachsen. Auch die Idee hinter Open Data und Open Content wird durch die KI-Nutzung gefährdet, mindestens aber infrage gestellt. Der Beitrag untersucht in einem ersten Schritt die (lizenz-)rechtlichen Rahmenbedingungen und sucht nach Lösungen. Dabei wird zunächst geklärt, weshalb KI-Bots ungefragt den Inhalt von Datenbanken und Webseiten auswerten dürfen und welche rechtlichen Schranken (in Europa) hierfür bestehen. In einem zweiten Schritt geht der Beitrag der Frage nach, welche Implikationen die festgestellte rechtliche Lage für Open-Content- und Open-Data-Lizenzen wie die CC-Lizenzen und die Open Database License (OpenStreetMap) hat. Könnte beispielsweise eine Ergänzung oder Änderung der Lizenzbedingungen helfen? Neben der rein rechtlichen Betrachtung wird auch immer ein Seitenblick auf die soziökonomischen Kräfteverhältnisse genommen.
15:00
60 min

mise-en-place die Toolbox für eurer Projekt

von der Entwicklung bis zum Deployment hilft euch mise-en-place
DevOps HS 8 de
mise-en-place <-strong> ist ein modernes Rust-Tool zur Verwaltung von Entwicklungsumgebungen und Automatisierungsprozessen. Es vereint Setup, Build, Testing und Deployment in einer konsistenten, deklarativen Struktur. Es kann sogar einen...
In diesem Vortrag wird mise-en-place, ein leistungsstarkes Tool aus dem Rust-Ökosystem, vorgestellt. Ziel von mise-en-place ist es, sämtliche Schritte eines Softwareprojekts – von der lokalen Einrichtung über Build und Tests bis hin zum Deployment – in einer einheitlichen, deklarativen Konfiguration abzubilden. Ein zentraler Aspekt ist die Fähigkeit, klassische CI/CD-Setups – insbesondere GitLab Pipeline Runner – vollständig zu ersetzen. Statt komplexer YAML-Pipelines und externer Runner ermöglicht mise-en-place die direkte Ausführung derselben Prozesse lokal wie auch in automatisierten Umgebungen. Der Vortrag zeigt praxisnah, wie mise-en-place in bestehenden Projekten integriert werden kann und welche Vorteile sich daraus ergeben: weniger Kontextwechsel, reproduzierbare Umgebungen und eine klare, versionierte Definition aller Prozesse. Besonders in Teams und bei wachsender Projektkomplexität wird mise-en-place zu einem unverzichtbaren Werkzeug, das den gesamten Software-Lifecycle effizient unterstützt. Wer moderne Entwicklungs- und Deployment-Workflows vereinfachen und vereinheitlichen möchte, sollte mise-en-place nicht missen. Ich zeige auch konkret, wie wir in unserer Firma...
15:00
60 min

Reading Video data with IO_URING

putting a new kernel framework into practical use
Development HS 6 en
io_uring is a fairly new I/O interface in the Linux kernel. It represents a shift in how applications interact with the kernel. Instead of transferring control through a system-call interface into kernel mode, operations are submitted...
The usual straightforward way to read data from a file is to invoke a read() function and receive the requested data directly in response. While this function is typically exposed through the programming language's standard library, it ultimately maps to a system call provided by the OS-kernel. Although this approach is simple in terms of program logic, it has the disadvantage that the calling thread is blocked, for an unknown amount of time, until the data becomes available. Blocking behaviour is particularly problematic in high-performance applications, because it reduces control over execution timing and may leave computational resources idle. Various interfaces and frameworks have been developed over time to address this issue, both for network communication and for file operations. The Linux kernel system call interface io_uring, adopted in kernel version 5.1 (2019) and gradually expanded since then, takes these efforts one step further by providing a uniform framework for many kinds of I/O operations: Client code submits requests to the kernel via shared queue, while completed work items are returned asynchronously through a second queue. In theory, this model allows...
15:00
60 min

KI-Chat mit eigener Suchmaschine: RAG in YaCy

Wir zeigen wie man große Datenmengen, auch private oder Unternehmensdaten in einem KI-Chat einbindet
It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 4 de
Möchte man eine spezielle Datenmenge mit einem KI-Chat verbinden, so muss man diese Daten in einer speziellen Art und Weise mit dem Chat-System verbinden, die man RAG (Retrieval Augmented Generation) nennt. Man benötigt dazu eine Suchmaschine für...
YaCy steht seit langem für Unabhängigkeit und Selbstbestimmung. Suchmaschinen sind für KI-Anwendungen notwendig wenn große Wissensdaten, die ansonsten nicht im KI-Modell angelernt wurden im KI Chat benötigt werden. In diesem Kontext ist der Betrieb eines eigenen KI Modell und einer eigenen Suchmaschine die Loslösung von Cloud-Anbietern und steht damit ganz gut im Track "It's the end of the world as we know it" und Krisenvorsorge. Der Vortrag hat workshop-Eigenschaften und wird wie ein Tutorial vorgeführt, allerdings ist es aufgrund der verwendeten Datenmengen nicht in der gleichen Zeit möglich, dass Zuhörende das ganze mitmachen können - einfach aufgrund des zu erwartenden Datendurchsatzes.
15:00
60 min

Unbekannt heißt nicht unzugänglich - Warum OSS Nutzung Mut braucht

Lower the barriers – How to make OSS accessible for everyone HS 5 de
Der Vortrag zeigt, wie unsere Emotionen, Gewohnheiten und Markenprägungen unsere Entscheidungen beeinflussen und uns oft von Open Source abhalten, obwohl sie Chancen für Selbstbestimmung, Lernen und bewussteren Umgang mit Technologie bietet.
In diesem Vortrag geht es nicht nur um Open Source Software, sondern um uns selbst: um unsere Emotionen, unsere Lernmuster und den Umgang mit Unsicherheit. Warum greifen wir so oft zu bekannten Lösungen, selbst wenn offene Alternativen verfügbar sind? Wir betrachten, wie Bildung und Lerntheorien unser Verhalten prägen und wie Emotionen unsere Entscheidungen beeinflussen – oft unbewusst, zwischen Neugier, Unsicherheit und Überforderung. Open Source fordert uns heraus: Sie verlangt Eigenverantwortung, Lernbereitschaft und Mut. Gleichzeitig stehen dem Gefühle wie FOMO, die Angst, etwas zu verpassen, oder die Sorge vor vermeintlicher Ausgrenzung entgegen. Ein weiterer Aspekt ist, wie stark Marken unser Denken formen – wenn Produktnamen zu Gattungsbegriffen werden, verschwinden Alternativen aus unserem Blickfeld. Dabei blenden wir häufig zentrale Themen wie Datensouveränität aus, obwohl gerade sie für offene Systeme sprechen würden. Der Vortrag lädt dazu ein, diese emotionalen und kognitiven Barrieren bewusst wahrzunehmen, Resilienz im Umgang mit neuen Werkzeugen zu entwickeln und Open Source nicht als Hürde, sondern als Lern- und Gestaltungsraum zu begreifen.
15:00
60 min

Beyond Patching: Automatisierte Abwehr gegen KI-gestützte Same-Day-Exploits

Ein Architekturvorschlag für proaktive Sicherheitsmaßnahmen zwischen Schwachstellen-Entdeckung und Patch-Deployment
Security HS 7 de
Die Kombination aus frei verfügbarem Quellcode bei Open-Source-Software und der zunehmenden Nutzung generativer KI zur automatisierten Exploit-Generierung verkürzt die „Time to Exploit“ massiv. Während traditionelle Patch-Management-Zyklen oft...
In den letzten 5 Jahren hat sich die mittlere Zeitspanne (Median) vom Bekanntwerden bis zur tatsächlichen Ausnutzung von Sicherheitslücken drastisch reduziert: Von 2 Monaten auf weniger als einen Tag. Open-Source-Projekte sind davon in besonderem Maße betroffen: Mit der Veröffentlichung eines Patches für eine Sicherheitslücke erhalten Angreifer die notwendigen Informationen, um einen Exploit dafür zu generieren. Gestützt von LLMs ist der gesamte Prozess von der Identifikation von Schwachstellen über die Entwicklung eines Exploits bis hin zum Aufspüren verwundbarer Systeme inzwischen großenteils automatisierbar. Dieser Vortrag untersucht technische Ansätze, um dieses Zeitfenster effektiv zu schließen. Anstatt ausschließlich auf den klassischen Release-Zyklus zu setzen, wird ein erweitertes Incident Response Management für FOSS-Infrastrukturen vorgestellt, in dessen Zentrum eine „Mitigation-Schicht“ liegt, die zwischen der Identifikation einer Lücke und dem finalen Software-Update agiert und in erster Linie von den Maintainern des FOSS-Projekts gesteuert wird. Konkrete Vorkehrungen sind stark abhängig von der konkreten Software und können von der Invalidierung von User-Sessions...
15:00
60 min

DigiZiege - A Progressive Web App for Goat Farmers

Unbreak your phone – A life without iOS and Android HS 3 en
Newly built mobile apps often support only two proprietary platforms, further feeding an unhealthy duopoly. Yet, a vast majority of mobile apps could also be built platform-independent as a ProgressiveWebApp (PWA). PWAs run almost anywhere - but...
15:15
120 min

Install and Deploy ownCloud File Sync and Share with Collabora Online Open Source Document editing to be in complete control of your data

Cloud Workshop (C115) en
Be in complete control of your data. We will show you how to get you quickly set up and running your own secure and free file sync and share system with complete document editing and collaboration software. No vendor lock-in, no terms-of-service...
ownCloud offers convenient collaboration with internal and external parties without storing data in the public cloud. It includes open APIs and modularity let you integrate almost everything to your ownCloud – Data sovereignty by design. ownCloudInfinite Scale is a cloud-native microservices-based architecture and the latest generation of server applications. It does not depend on external software packages like PHP or a database which eliminates all the hassle that comes along with using them. With its modern architecture, Infinite Scale provides all deployment models for cloud infrastructure deployments and optimized scaling setups for the best output in return for the invested energy. With the single binary concept, managing the server is much more streamlined over all deployment methods. Collabora Online is an Open Source document editor, designed to be easily used by your team to view and edit your text, spreadsheets, presentations and drawings. It features secure collaboration and compatibility with trillions of documents including Microsoft, open and more.
16:15
60 min

Von der Self-Hosting-Hölle zur Data Agency

Kontrolle gewinnen, ohne zum Sysadmin zu werden
Lower the barriers – How to make OSS accessible for everyone HS 5 de
Self-Hosting scheitert nicht an fehlender Motivation, sondern an der Komplexität: Die meisten Menschen können oder wollen keine Server administrieren. Dieser Vortrag zeigt, wie Solid und PodOS einen anderen Ansatz ermöglichen: Statt unzählige Apps...
Wer seine digitale Souveränität ernst nimmt, landet schnell in der Self-Hosting-Falle: Jede App braucht ihre eigene Installation, Wartung, Backups und Updates. Was als Befreiung von Cloud-Diensten beginnt, wird zur administrativen Last. PodOS zeigt einen anderen Weg: Basierend auf der Solid-Spezifikation verschiebt sich der Fokus von der App-Verwaltung zur Daten-Orchestrierung. Persönliche Daten werden in Pods gespeichert – dezentral, unter eigener Kontrolle, aber mit standardisierten Schnittstellen versehen. PodOS fungiert dabei als Operating System für diese Daten: Es bietet generische Zugriffsmöglichkeiten, ermöglicht die Erstellung maßgeschneiderter Dashboards und schafft ein Kontinuum zwischen universeller Datenbearbeitung und domänenspezifischen Anwendungen. Das Spannende: Weil die Daten standardisiert im eigenen Pod liegen, entstehen völlig neue Kombinationsmöglichkeiten. Ich kann fremdgehostete Open-Source-Apps nutzen UND gleichzeitig eigene Tools auf denselben Daten bauen. OSS-Projekte profitieren doppelt: Sie müssen nicht mehr selbst gehostet werden und tragen weniger Verantwortung für Datenhaltung und Backups. Das senkt die Einstiegshürden für Nutzer*innen und...
16:15
60 min

How to FrOSCon?

Der ideale Ort um alles über die Organisation der FrOSCon zu erfahren
Lower the barriers – How to make OSS accessible for everyone HS 6 de
Das Orgateam sucht immer engagierte Menschen für das Team. Neugierig? Dann lerne Teile des Orgateams kennen und erfahre alles was du schon immer über die FrOSCon wissen wolltest. Wir freuen uns auf euch.
Wer es hier her geschafft hat, sollte wissen was die FrOSCon ist. Mehr Informationen auf unserer Website.
16:15
60 min
16:15
150 min

gnuplot-Sprechstunde

Ein Bild sagt mehr als 1000 Zahlen …
Other Workshop (C117) de
gnuplot ist in meiner UNIX-Werkzeugkiste seit viel mehr als einem Jahrzehnt nicht mehr wegzudenken! gnuplot kann viel mehr, als nur mathematische Funktionen (schön) zu darzustellen. Wann immer man ein paar Zahlen antrifft, die irgendwie in...
gnuplot ist in meiner UNIX-Werkzeugkiste seit viel mehr als einem Jahrzehnt nicht mehr wegzudenken! gnuplot kann viel mehr, als nur mathematische Funktionen (schön) zu darzustellen. Wann immer man ein paar Zahlen antrifft, die irgendwie in zusammen gehören (ob Spritpreise, das Wetter, vielleicht ja sogar die Lottozahlen) – eine Grafik zeigt Zusammenhänge und Entwicklungen. Und das geht super einfach mit nur wenigen, intuitiven Befehlen. Im Vortrag wird an verschiedenen Beispielen erklärt, wie man Zahlen in informative und skalierbare Grafiken vewandeln kann, und wie man mit gnuplot Daten auswerten und Kurven-Fits an Ausgleichsfunktionen in Sekundenschnelle erstellen kann. "Neulich" habe ich die Zahlen unten im Internet "gefunden". Doch was mögen sie bedeuten? gnuplot kann es uns "zeigen¨! Neugierig? Dann mal selbst (gnu)plotten -- und in den Vortrag kommen! ... und hier die Lottozahlen von morgen -- was wollen sie euch sagen? 75 215 74 244 85 257 109 257 132 258 147 245 150 229 153 213 151 192 157 181 163 170 167 161 177 148 187 136 193 123 196 107 199 91 201 84 193 76 186 68 172 54 162 69 157 77 156 86 165 88 171 89 174 89 179 87 183 85 184 86 179 89 174 93 173 90 174 95 176...
16:15
60 min

Patch me if you can

Flickst Du noch oder auditierst Du schon?
Patch it, fix it, print it – Right to repair for software and hardware HS 1/2 de
Christian und Jörg teilen in diesem Vortrag Beobachtungen aus ihrem beruflichen Umfeld, wie Unternehmen und Organisationen sich dem Thema Schwachstellen- und Patch-Management stellen. Neben den Beobachtungen bietet der Vortrag etwas Statistik zu...
Wenn der CISO zweimal klingelt, steht den Admins meist sofort der Schweiß auf der Stirn. Bestimmt liegt der neueste Schwachstellen-Bericht mit besorgniserregenden CVE und CVSS-Scores vor und es wird erwartet, die wichtigsten Lücken innerhalb der nächsten Stunden und Tage zu schließen. Ja, ihr habt richtig gelesen. Wo früher noch ein- bis zweimal im Jahr gepatcht wurde, wird heute erwartet, dass dies jederzeit innerhalb weniger Stunden geleistet werden kann. Natürlich ohne eventuell vorhandenen Service Level Agreements (SLA) der betroffenen IT-Dienste zu brechen. Die Anforderungen und Verantwortlichkeiten der Fachbereiche und der IT-Sicherheitsabteilung lassen sich dabei häufig nicht so leicht in Einklang bringen. Christian und Jörg teilen in diesem Vortrag ihre Beobachtungen, welchen Herausforderungen sich Unternehmen und Organisationen stellen müssen und wie sie damit umgehen können. Sie diskutieren, ob Responsible Disclosure noch zeitgemäß ist und wie Werkzeuge wie z.B. Foreman, Uyuni oder OpenSCAP dabei helfen können, die Lage zu verbessern. Christian Stankowic beschäftigt sich seit 2006 mit großer Freude mit den grauen Kisten, die einem dabei helfen sollen, Probleme zu...
16:15
60 min

Von Reset-Vektoren und Eigentumsrechten

Boot-Sicherheit, Vertrauensketten und Konformität unter dem Cyber Resilience Act (CRA)
Security HS 7 de
Wer Vertrauensanker kontrolliert, kontrolliert das Gerät, und der CRA sorgt gerade auf EU-Ebene mit harmonisierten Standards dafür, zu beantworten was verpflichtend auf der Verpackung stehen muss.
Zwei Fragen sind bei der Sicherheit der Bootchain tief verzahnt: eine technische („verifiziert dieses Gerät den Code kryptografisch vor der Ausführung?") und eine politische („mit wessen Schlüsseln?"). Für die FOSS-Community sind die Fragen nicht neu und sie begleiten uns spätestens seit UEFI Secure Boot. Mit dem CRA sind sie jetzt in EU-weiter harmonisierter Normung. Der Vortrag erklärt die technischen und regulatorischen Grundlagen und schaut auf die verschiedenen Beteiligten mit ihrer jeweiligen ökonomischen und operativen Realität. Welche Fragen werden auf EU-Ebene mit dem CRA und den Normen tatsächlich beantwortet, wenn es um Sicherheit und Souveränität von Nutzer*innen geht? Und was bedeutet das alles für das umliegende Ökosystem, oder eben gerade nicht? Gerade für FOSS-Enthusiasten ist es sehr relevant, ob sie mit einem Gerät machen können, was sie wollen, oder ob das einfach nur ein fremdgesteuertes Etwas ist, über das nur eingeschränkte Kontrolle besteht. Gerade bei Geräten mit persönlichen Daten ist es extrem wichtig zu wissen, wer was mit welchen Daten machen kann und wer die Hoheit hat. Im Cyber Resilience Act sind verschiedene Aspekte dieser Frage behandelt. Wir...
16:15
60 min

Automated testing of a phone operating system

How postmarketOS wants to simplify testing of devices
Unbreak your phone – A life without iOS and Android HS 3 en
Building a phone operating system, like postmarketOS is hard. Manually testing upgrades is time-consuming and should be automated. Let me present to you what the postmarketOS project has been working on to automate booting software on consumer...
17:30
60 min

Offline, aber wartbar: Kubernetes-Deployments in airgapped Hochsicherheitsumgebungen

Airgap ist mehr als Netzwerkisolation: Kubernetes-Betrieb mit lokalen Registries, Update-Schleusen und reproduzierbaren Releases
DevOps HS 8 de
AirGapped Kubernetes klingt zunächst widersprüchlich: Kubernetes-Ökosysteme leben von Container Registries, Helm Charts, Git-Repositories, Paketquellen, Cloud-Integrationen und automatisierten Update-Flows. In hochsicheren abgeschotteten...
Kubernetes wird häufig mit Cloud, Automatisierung und ständiger Verfügbarkeit externer Dienste verbunden. Container Images werden aus öffentlichen Registries gezogen, Helm Charts aus externen Repositories geladen, Abhängigkeiten zur Laufzeit aufgelöst und Updates direkt aus CI/CD-Pipelines in Zielumgebungen ausgerollt. In hochsicheren, abgeschotteten oder airgapped Umgebungen funktioniert dieses Modell nicht. Dort gilt eine andere Grundregel: Was nicht kontrolliert in die Umgebung eingebracht wurde, existiert für das Deployment nicht. Der Vortrag beschäftigt sich mit der Frage, wie Kubernetes-basierte Systeme in solchen Umgebungen trotzdem professionell betrieben werden können. Dabei geht es nicht nur darum, Container Images einmalig offline verfügbar zu machen, sondern um einen vollständigen Deployment- und Wartungsprozess: von der Erstellung und Prüfung der Artefakte über den Transfer in eine isolierte Umgebung bis zum reproduzierbaren Rollout im Cluster. Im Zentrum steht eine mehrstufige Architektur. In einer angebundenen Build- oder Staging-Umgebung werden Images, Helm Charts, Manifeste, Konfigurationsdateien und weitere Artefakte vorbereitet. Diese Artefakte werden...
17:30
60 min

Baue deine eigenen KI-Agenten mit lokalen LLMs

Coding Agents, LLMs mit Bash-Zugriff und autonome Worker — alles lokal und ohne Cloud
It’s the end of the world as we know it – Prepping for crisis with FLOSS Workshop (C115) de
Wie betreibt man KI Agenten völlig privat oder wenn der Internetzugang weg ist und/oder Cloud-Dienste verschwinden? Mit Open-Weight-LLMs kann man sich eigene lokale KI-Agenten bauen: kleine Worker mit Shell-Zugriff, Tool-Calls, lokaler Suche und...
Der Vortrag zeigt, wie KI-Agenten funktionieren, wenn man sie auf das Wesentliche reduziert: ein LLM, ein Prompt, ein paar Werkzeuge und eine Schleife, die so lange läuft, bis das Modell keine weiteren Tools mehr benötigt, um eine Antwort zu erzeugen. Als Grundlage dient der kleine Bash-Agent OPX. Er läuft mit Ollama-Modellen und besitzt nur wenige Werkzeuge, zum Beispiel bash und write_file. Genau dadurch wird sichtbar, wie moderne Coding-Agenten intern arbeiten: Das Modell fordert Werkzeuge an, bekommt Ergebnisse zurück und entscheidet dann über den nächsten Schritt. Im Vortrag wird dieser Agenten-Loop auseinandergebaut und erweitert: Modelle starten, Tool-Calls verstehen, Shell-Kommandos absichern, Dateien schreiben, Git-Diffs analysieren, lokale Datenquellen anbinden und daraus kleine autonome Worker bauen. Dazu zeigen wir die notwendigen Grundlagen: Ollama installieren, passende Modelle auswählen, eine lokale Suchmaschine (YaCy/elasticsearch) mit Daten bestücken und diese dann mit dem Agenten verknüpfen. Außerdem bauen wir einfache autonome Worker, die per cron-job oder als kleine Hintergrunddienste laufen. Es geht dabei nicht um den perfekten Super-Agenten, sondern um...
17:30
60 min

Chinesische Geigerzähler an Home Assistant anbinden

It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 4 de
Billige Geigerzähler können (fast) ohne Löten mit der offenen RadPro-Firmware ausgestattet und mit einem ESP32 an Home Assistant angebunden werden.
Nach einem prinzipiellen Überblick über ionisierende Strahlung und unterschiedliche Typen von Detektoren werden einige günstige Modelle mit Geiger-Müller-Zählrohr vorgestellt. Die Modelle GC-01 und GC-03 von Fnirsi lassen sich ohne Lötkolben mit der RadPro-Firmware flashen (Achtung: nur die Originale - inkompatible Produktfälschungen sind weit verbreitet!). RadPro bietet neben erweiterten Menüfunktionen auch Datenexport über USB an. Ein ESP32-S3-Board mit radpro-wifi-bridge nimmt die Daten entgegen und published sie via MQTT an Home Assistant. Gesamtkosten (je nach Modell und Händler): 50-90€. Spoiler: Hintergrundstrahlung ist sehr langweilig und es gibt ein gut ausgebautes Netzwerk von Sensoren. Und wer mit dem Geigerzähler zum Flohmarkt geht (Uranglas, Radium/Tritium-Uhrzeiger), erntet vielleicht mehr als nur komische Blicke.
17:30
60 min

Digitale Barrierefreiheit in Open Source Projekten und Communities

Projekt-Learnings auch für die FOSS-Community
Lower the barriers – How to make OSS accessible for everyone HS 5 de
Der Vortrag gibt Einblicke in Erkenntnisse aus dem Projekt „Digitale Barrierefreiheit im Arbeitsleben durch partizipative Evaluation“ mit Fokus auf Developer-Perspektiven, Open-Source-Communities und Weiterbildung. Die Projekt-Analysen zeigen,...
Barrierefreiheit in Software wird häufig vor allem als technisches Problem betrachtet: Semantisches HTML, Screenreader-Kompatibilität oder Kontrasteinstellungen. Doch digitale Barrierefreiheit entsteht nicht allein durch Technik – sie ist ebenso eine Frage von Entwicklungsprozessen, Kommunikation, Rollenverständnissen und Community-Kultur. Der Vortrag gibt Einblicke in Teil-Erkenntnisse aus dem Projekt „Digitale Barrierefreiheit im Arbeitsleben durch partizipative Evaluation“. Im Fokus stehen dabei insbesondere die Bereiche Developer-Perspektive, Open Source Communities und Weiterbildung. Ausgehend von Interviewanalysen wird beleuchtet, wie Entwickler\*innen Barrierefreiheit im Arbeitsalltag wahrnehmen: Welche Hürden bestehen in Entwicklungsprozessen? Wo fehlen Wissen, Zeit oder organisatorische Strukturen? Welche Spannungsfelder entstehen zwischen rechtlichem Anspruch, Ressourcen und Projektentscheidungen? Ergänzt werden diese Perspektiven durch Erkenntnisse aus Umfragen und Praxisberichten aus Open-Source-Communities. Dabei geht es unter anderem um die Frage, wie Community-Strukturen und Projektorganisation Barrierefreiheit fördern – oder behindern – können. Desweiteren werden...
17:30
60 min

State of the Union 2026

Die Open Source Couch
Other HS 1/2 de
Auch in diesem Jahr sammeln Oliver und Michael die Themen, Kuriositäten und Aufreger des vergangenen Open Source-Jahres auf und diskutieren gemeinsam mit dem Publikum auf der Open Source Couch.
Wir begehen wieder einmal eine Reise durch 12 Monate Open Source, mit Wundern und Aufregern, mit Technik und Kultur, mit Geschichten und Geschichte und mit vielen Themen rund um Freie Software und den Menschen, die dafür und damit arbeiten. Oliver und Michael gemeinsam mit dem Publikum auf einer Rundfahrt mit Aussicht..
17:30
60 min

Warum ich angefangen habe Brot zu backen

Other HS 6 de
Acht Stunden am Rechner, der Kopf raucht – aber der Körper hat keinen einzigen Schritt gemacht. Das Gehirn ist erschöpft, hat aber nichts Greifbares vorzuweisen. Kein Ergebnis, das man anfassen, riechen oder essen kann. Ich habe irgendwann...
Wer in der IT arbeitet, kennt das Phänomen: Ein langer Arbeitstag hinterlässt einen mental leer, körperlich aber völlig unberührt. Das Gehirn hat stundenlang Probleme gelöst, Entscheidungen getroffen, auf Bildschirme gestarrt – und am Ende des Tages gibt es nichts Physisches, das zeigt, dass man überhaupt da war. Kein sichtbares Ergebnis, nichts zum Anfassen, nichts, das nach Arbeit riecht. Irgendwann habe ich angefangen, Brot zu backen. Was zunächst wie eine Laune wirkte, hat sich als echtes Gegengewicht zur Bildschirmarbeit herausgestellt: Beim Backen arbeitet die Hand, nicht der Kopf. Der Teig gibt direktes, ehrliches Feedback – nicht nach dem nächsten Deployment, sondern sofort. Das Ergebnis ist greifbar, riechbar, essbar. Und wenn etwas schiefgeht, liegt es nicht an einem Merge-Konflikt. Dieser Vortrag ist kein Produktivitäts-Hack und keine Wellness-Predigt. Es ist eine persönliche Geschichte darüber, warum handwerkliche Arbeit für Menschen, die den ganzen Tag abstrakt denken, eine besondere Qualität hat – und warum ausgerechnet Sauerteig dabei eine Hauptrolle spielt. Ich teile: Warum ich angefangen habe – und was mich dazu gebracht hat, weiterzumachen Was Backen...
17:30
60 min

Wir bauen uns einen Congress-Laptop: CachyOS härten für Einsteiger

Security HS 7 de
In den vergangenen 20 Jahren habe ich immer wieder Workshops u.a. für Aktivisten und Journalisten unterrichtet, die ihre Hardware in Krisengebieten oder Unrechtsstaaten absichern wollten. In diesem aktualisierten Vortrag zeige ich, wie man sich...
Der Vortrag ist einsteigerfreundlich gestaltet. Ich zeige u.a. wie man: - die Hardware (UEFI/TPM2) absichert und sinnvolle Festplattenverschlüsselung einrichtet - Kernel und Boot-Prozess absichert mit gehärtetem Kernel, IOMMU, Secure Boot mit eigenen Schlüsseln signiert und LUKS2 an die Measured-Boot-Signaturen bindet und mit einer TPM2-PIN entsperrt - Schutz vor USB-Geräten mit Usbguard - Verschlüsselung einzelner Verzeichnisse mit GoCryptFS und verschlüsselte Datensychronisierung in die Cloud, wenn man unterundwegs ist - Firefox und Co. mit Firejail absichern, AppArmor als Alternative - OpenSSH härten, Firewall mit UFW einrichten - OpenPGP-Smartcard und Device-Bound-Passkeys mit Yubikey oder Nitrokey - Passwortmanagement mit KeePassXC Jede Sicherheitsmaßnahme wird in ein Threat Model eingebunden sowie Vor- und Nachteile erklärt. Damit könnt ihr selber entscheiden, ob diese Maßnahme in eurer Situation sinnvoll ist. Der eingesetzte Laptop muss über die Möglichkeit von Secure Boot und TPM2 verfügen, was eigentlich bei allen Business-Reihen (Lenovo Thinkpad, HP Elitebook, Dell Latitude o.ä.) der Fall ist. Ein günstiges Gebrauchtgerät reicht hier vollkommen aus. Ein Yubikey...
17:30
60 min

Modular Synth in the browser

Web Development HS 3 de
Als Teil des Open Source Audio Meetups (jetzt sonoj.org) präsentiere ich Synflow – ein browsernatives, visuelles Node-Graph-System, dessen Hauptfokus auf der flexiblen Erstellung von maßgeschneiderten Synthesizern und Audio-Flows liegt. Das...
Während klassische Software-Synthesizer oft funktionell fest verdrahtet sind und reine DSP-Sprachen eine steile Lernkurve besitzen, bietet Synflow einen zugänglichen, visuellen Mittelweg für schnelles Prototyping und Experimente. Der Vortrag beleuchtet die modulare Architektur der Web-Workstation und zeigt auf, wie aus einfachen Grundbausteinen komplexe, spielbare Synthesizer-Stimmen geformt werden: - Klangerzeugung & Synthese: Mit aktuell 46 integrierten Open-Source-Nodes lassen sich von klassischen subtraktiven Synthesizern und Orgel-Stimmen bis hin zu perkussiven Synthesen (wie Kicks, Snares und Hi-Hats) jegliche Instrumente frei patchen. Achtung es kommt auch ein Dudelsack! Die native Audio-Engine: Der C++ Rendering-Thread des Browsers (Web Audio API) verarbeitet Oszillatoren, Filter und Gain-Stufen in einem gerichteten, kreisfreien Graphen, während AudioWorklets maßgeschneiderten DSP-Code in einem separaten High-Priority-Thread ausführen. Die visuelle UI-Eben: Angetrieben von React 19 und XYFlow (React Flow) v12 bietet das Interface intuitive Drehregler im Eurorack-Stil, Waveform-Vorschauen und ein unkompliziertes Drag-to-Connect-Kabelsystem. Echtzeit-Steuerung &...

Sunday

10:00
60 min

Wie schreibt man eigentlich こんにちは?

Ein Überblick über Eingabemethoden für fernöstliche Zeichen unter Linux
Culture HS 6 de
Die japanische Begrüßung Konnichiwa (こんにちは) kennt sicher der ein oder andere. Aber wie schreibt man dies eigentlich auf einer Tastatur? Welche Software braucht man dafür unter Linux? Und wie kommunizieren die Komponenten miteinander?
Wenn wir eine E-Mail schreiben, so können wir alle Zeichen durch separate Tasten bzw. deren Kombination mit Modifiern (Shift oder Alt Gr) erreichen. Dies ist für die mehreren tausend CJK (Chinesisch, Japanisch, Koreanisch) Zeichen aber keine Option mehr. Daher gibt es für jede Sprache spezielle Eingabeprogramme (Input Method Editor, IME), die für das Mapping der Tastatureingaben auf mögliche CJK-Zeichen(folgen) zuständig sind. Diese werden in Kombination mit einem Framework (Input Method Framework, IMF) genutzt, die die Schnittstelle der Eingabeprogramme mit den Applikationen bilden und auch ein Wechsel zwischen mehreren Eingabeprogrammen erlauben. Diese Komplexität ist üblicherweise durch die Desktopumgebung und GUI-Frameworks vor uns versteckt. Dennoch lohnt sich ein Blick in die Welt der Eingabeprogramme. Sei es nur aus Interesse, wie viel komplexer die Eingabe in anderen Sprachen sein kann oder die Fallstricke, wenn man annimmt, dass jeder Tastendruck ein festes Zeichen darstellt. Auch nutzen beispielsweise Bildschirmtastaturen teilweise diese Integrationen. Ziel des Vortrags ist es einen Überblick der Funktionsweise von Eingabeprogrammen und Frameworks unter Linux zu geben....
10:00
60 min

Linux and PostgreSQL in the Multiverse of Connections (ver 3)

Databases HS 7 en
This talk delivers an analysis of the architectural costs associated with PostgreSQL's process-per-connection model, examining Linux shared memory usage, memory allocation tables, CPU context switching and CFS versus EEVDF scheduling. Talk...
PostgreSQL connections are expensive, and their count is often the limiting factor for performance and stability. Connection pooling is a primary scaling tool for modern systems with microservices, short-lived clients, and bursty traffic. We all know it, but do we really understand why? This talk offers a deep dive into PostgreSQL and Linux architecture, explaining the concrete costs of “too many connections” in PostgreSQL’s process-per-connection model. We will discuss CPU overhead from context switching; kernel resources such as sockets and file descriptors; differences between the classic Completely Fair Scheduler (CFS) and its newer EEVDF-based scheduling approach; limitations of MVCC snapshot implementation across different PostgreSQL versions; accumulation of allocations in per-session memory contexts; and how much memory a query can allocate during execution. We will also look for guidance on “maximum active connections per CPU core” for OLTP vs. OLAP.
10:00
60 min

Neues von Collabora Office und Collabora Online

Die neuen Collabora Desktop-Anwendungen, und das 26.04 Release, sowie Neuigkeiten aus dem openDesk- und dem digital-souveränen Universum - es gibt viel Neues aus dem Projekt!
It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 8 en
Dieser Vortrag gibt einen Überblick über den aktuellen Stand der Open-Source Office-Anwendung Collabora Office.
Dieser Vortrag gibt einen Überblick über den aktuellen Stand der Open-Source Office-Anwendung Collabora Office. Von einem der Gründer des LibreOffice Projekts gibt es einen Parforce-Ritt durch die zahlreichen Entwicklungen und Verbesserungen in den Anwendungen, sowie die Ideen und Motivationen für die Entwicklung der neuen Desktop-Anwendungen. Weiterhin beleuchten wir die wachsende Bedeutung der digitalen Souveränität, und welche zentrale Rolle Office-Suiten dabei spielen. Anhand konkreter Migrationsprojekte, wie beispielsweise in Schleswig-Holstein und beim österreichischen Militär, werden wir untersuchen, wie öffentliche Einrichtungen ihre Abhängigkeit von proprietären Anbietern durch die Einführung offener Standards wie ODF und Open-Source-Lösungen verringern. Dazu gehört die Wiedererlangung der Kontrolle über Dokumentformate, Aktualisierungszyklen und Datenflüsse sowie die umfassenderen Herausforderungen, die mit solchen Umstellungen einhergehen.
10:00
60 min

Opening windows to a wider world

Was kann Samba in der Linux-Welt für Euch tun?
Network HS 3 de
Samba ist heute viel mehr als der Fileserver für Windows-Rechner, der es einmal war. Dieser Vortrag wird einen Überblick darüber geben, dass Samba heutzutage seinen Platz nicht nur in Netzen mit Windows findet, sondern auch viele Dinge für die...
Samba ist in den 1990ern als Implementation des SMB-Protokolls entstanden, mit dem DOS-Rechner Laufwerke von entfernten Servern einbinden konnten. Im Laufe der Jahrzehnte hat sich Samba zu einer Lösung auch für reine Unix-Netze entwickelt: Mit dem Active Directory Domain Controller und dem Gegenstück winbind ist alles vorhanden, um Benutzer von Linux-Workstations im Netzwerk sicher zu verwalten. Mit den Posix Extensions für das SMB3-Protokoll steht ein vollwertiger und sicherer Ersatz für NFS zur Verfügung, das oftmals komplett unsicher eingesetzt wird.
10:00
60 min

TUXEDO OS zieht um

Von Ubuntu LTS zu Debian Testing
Other HS 1/2 de
TUXEDO OS zieht mit der Open Beta von Ubuntu LTS auf Debian Testing um. Der Talk erklärt, warum ein Hardwarehersteller aktuellere Kernel, Mesa, Firmware und Paketstände braucht, warum „einfach Ubuntu mit Backports“ irgendwann an Grenzen stößt und...
Was passiert, wenn ein Linux-Hardwarehersteller seine eigene Distribution von Ubuntu LTS auf Debian Testing umzieht? Mit der Open Beta von TUXEDO OS auf Debian Testing ist dieser Wechsel nicht mehr nur eine Idee, sondern öffentlich testbar. In diesem Talk geht es darum, warum wir diesen Schritt gehen, welche Probleme wir damit lösen wollen und welche neuen Baustellen wir uns damit bewusst einkaufen. Denn moderne Linux-Hardware lebt oft näher am Upstream als klassische LTS-Zyklen erlauben: Kernel, Mesa, Firmware, Treiber und Desktop-Stack entscheiden darüber, ob neue Notebooks wirklich gut funktionieren. Gleichzeitig soll ein vorinstalliertes Betriebssystem nicht wie ein Bastelprojekt wirken, sondern für normale Nutzerinnen und Nutzer zuverlässig installierbar, updatebar und supportbar bleiben. Der Vortrag gibt einen Blick hinter die Kulissen von TUXEDO OS: Warum Debian Testing? Warum nicht einfach weiter Ubuntu LTS plus Backports? Wie viel Debian steckt am Ende wirklich drin? Wo müssen wir eigene Pakete, Kernel, QA-Prozesse und Release-Gates bauen? Und was haben wir aus der Open Beta schon gelernt? Es geht um technische Entscheidungen, schmerzhafte Kompromisse,...
10:00
60 min

Drop-in-Replacing Microsoft Exchange with grommunio

A Full Featured open source Exchange Server from Austria
Security Workshop (C117) en
Our CTO Michael Kromer did two talks about grommunio, the best open source replacement for MS Exchange. I am giving you a best of his 4 hour workshop and explain the concepts behind grommunio. Our technical staff has completely re-implemented...
First part: What is grommunio, how does it work? Secound part: Workshop: Installing and testing some clients with grommunio
10:00
60 min

Funding the Commons: Metadata Formats as a Public-Sector Lever

How interoperable metadata helps open source communities unlock funding and qualify for sustainable public procurement
Someone gonna pay - is it you? – Funding for Open Source HS 5 en
There is a massive potential for public procurement to play a key role in open-source funding. Governments want software that is secure, maintainable, and backed by visible ecosystems as they look for digital sovereignty. But the reality is that...
Public procurement is one of the largest financial levers in the software ecosystem. When procurement criteria favor open, sustainable, and secure solutions, funding follows. But many open source projects are excluded before evaluation because key evidence is fragmented across repositories, documents, and informal signals. This talk focuses on a practical solution: interoperable metadata formats that let projects publish procurement-relevant evidence once and reuse it everywhere. The session connects maintainer workflows to real funding outcomes by showing how better metadata improves discoverability, comparability, and trust for public buyers, grant programs, and ecosystem funders. What attendees will learn: * Which metadata signals matter most for procurement and investment decisions (security, adoption, contributor and vendor ecosystem, support capacity) * How we can use EU laws and policies specifically to build momentum for these metadata signals. * How standardized metadata helps public institutions buy responsibly while channeling resources to sustainable upstream projects. What we will discuss: * How to implement these formats incrementally to keep overhead manageable...
10:00
150 min

Nix/NixOS Anfänger:innen Workshop

Wiederverwendbare Systemkonfigurationen erstellen und verwalten
System Administration Workshop (C115) de
Workshop für hands-on nix Konfigurationen. Wir erstellen gemeinsam ein modulares Setup, welches sowohl auf NixOS als auch auf klassischen Linux Distributionen zum Einsatz kommen kann.
Nix und NixOS haben in den letzten Jahren immer mehr an Popularität gewonnen. Ein Grund dafür ist die deklarative Konfiguration, welche wiederverwendbare Setups ermöglicht. Gleichzeitig ist der Einstieg in die nix-Welt aber nicht einfach. Die Lernkurve ist sehr steil und gibt es mehr als nur eine Lösungsmöglichkeit für verschiedene Anwendungsfälle. Ziel des Workshops ist die Erstellung einer modularen System-Konfiguration am praktischen Beispiel um die Vorteile von nix kennenzulernen. Konkret soll folgendes umgesetzt werden: * verschiedene Host-Systeme * Unterscheidung in grafische und nicht-grafische Hosts * Unterscheidung in NixOS und Nicht-NixOS Distributionen * Multi-User konfiguration * gemeinsame Defaults für User, aber auch benutzerspezifische Paktetinstallationen * Pflege des Setups mittels git Repo Auf diesem Weg werden wir uns unter anderem mit folgenden Tools beschäftigen: * nix * flakes * home-manager * git
10:00
60 min

Openwashing ans Licht!

Mit welchen Methoden wird proprietäre als Freie Software ausgegeben und was können wir dagegen tun?
Who can you trust? – Making and accepting contributions in 2026 HS 4 de
Immer wieder schmücken Unternehmen ihre Software-Produkte mit den Begriffen „frei" und "open" um zu verschleiern, dass sie proprietäre Software vertreiben. Für Entwicklerinnen, Maintainer, öffentliche Verwaltungen und das gesamte...
Die vermeintliche Kreativität der Openwasher ist groß: Sie nutzen irreführende Begriffe und Namen, führen neue Lizenzen ein, die fälschlich wie Freie-Software-Lizenzen wirken, bauen ihre Geschäftsmodelle um proprietäre Schlüsselfunktionen oder errichten zusätzliche Hürden, die es erschweren, die durch Freie Software gewährten Freiheiten tatsächlich auszuüben. Dieses irreführende Verhalten schadet dem Ziel, digitale Souveränität durch Freie Software zu erreichen. Es erschwert Verwaltungen die Einschätzung, ob eine Lösung tatsächlich Freie Software ist, und untergräbt strategische Beschaffung, bei der öffentliche Gelder grundsätzlich Freie Software finanzieren sollen, wie es die Free Software Foundation Europe (FSFE) mit ihrer Initiative „Public Money? Public Code!“ seit langem fordert. Außerdem täuscht Openwashing Nutzende beschädigt das Vertrauen in das Freie-Software-Ökosystem. Die FSFE analysiert Openwashing und andere fragwürdige Praktiken seit mehreren Jahren. In diesem Vortrag betrachten wir konkrete Beispiele und untersuchen, wie sie Entwicklerinnen, Maintainer, Nutzende und öffentliche Verwaltungen betreffen. Abschließend diskutieren wir, was Politik, Verwaltungen und wir...
11:15
60 min

Zero Copy statt Kabelsalat

Der Media eXchange Layer als offener Unterbau für softwaredefiniertes Broadcasting
Cloud HS 7 de
Software-defined Networking, Kubernetes, Microservices: In der IT längst Alltag – im Broadcasting beginnt diese Transformation gerade erst. Der Vortrag zeigt mit DMF und dem Open-Source Media eXchange Layer (MXL), wie containerisierte Media...
Software‑defined Networking gibt es seit 2011, Kubernetes seit 2014, Microservices‑Architekturen sind Alltag. Die Broadcasting‑Welt kommt gerade erst an dieser Stelle an: mit der Dynamic Media Facility (DMF) und ihrem Media-Functions-as-a-Service-Konzept. Wir gehen kurz auf die DMF Referenzarchitektur v2 ein, die auf Container-Technologien beruht. Ein Basislayer der DMF ist der Media eXchange Layer (MXL). Mit dem 2026 v1.0‑Release des Media eXchange Layer (MXL) unter dem Dach der Linux Foundation. MXL ist technisch gesehen eine Schicht für den schnellen Austausch von Mediendaten zwischen containerisierten Medienfunktionen. Solche Funktionen können zum Beispiel Ingest, Replay, Graphics, Mixer oder Playout sein. Jede dieser Funktionen läuft als eigener Prozess. Statt Video, Audio und zeitbezogene Metadaten zwischen diesen Prozessen zu kopieren, nutzt MXL Shared Memory. Dadurch können die Prozesse dieselben Daten direkt verwenden, ohne zusätzliche Kopiervorgänge. Das nennt man Zero Copy. Künftig soll dieser Austausch mit RDMA und libfabric auch über die Grenzen eines einzelnen Hosts hinaus funktionieren. Konzeptionell bewegt sich MXL zwischen Ansätzen wie GStreamer, PipeWire und...
11:15
60 min

Generative KI, Ethik und Nachhaltigkeit

Übernehmen wir mehr Verantwortung für unser Handeln.
Culture HS 6 de
Generative KIs/LLMs zu verwenden, birgt ethische Risiken und ist in vielen Aspekten nicht nachhaltig. Schauen wir uns das zusammen genauer an, damit wir bewusster, informierter und verantwortungsvoller damit umgehen können.
Generative KI, die uns Texte, Chats, Code, Bilder und Musik erzeugt, wird immer mehr eingesetzt und in Software integriert. Die Hersteller wie OpenAI oder Anthtropic verschweigen dabei in ihrem Marketing die ethischen Probleme und die Risiken für Nachhaltigkeit, die mit dem Angebot und der Nutzung ihrer Software einhergehen. Mit diesem Talk möchte ich dazu beitragen, dass wir bewusster, informierter und verantwortungsvoller darüber entscheiden, ob und wofür wir generative KI nutzen und unterstützen.
11:15
60 min

Lisp in Business-Anwendungen: ein Werkzeug für besondere Aufgaben

Implementierung von Make-a-Lisp (MaL) in der 1C Business Specific Language – Sprachenbau interaktiv lernen
Development Workshop (C117) de
Das Ziel dieses praxisorientierten Workshops ist es, die Transformation einer datenbankzentrierten ERP-Plattform in eine flexible Laufzeitumgebung für symbolische Datenverarbeitung live zu demonstrieren. Wir zeigen Schritt für Schritt, wie die 1C...
Während 1C:Enterprise die gesamte Infrastruktur für Benutzeroberflächen, Datenhaltung und Datenmanagement übernimmt, programmieren wir die komplexe Domänenlogik (z. B. Verwandtschaftsalgorithmen) in unserem eingebetteten Interpreter. Der Workshop bietet einen interaktiven Deep-Dive in das Interpreter-Design: Architektur & Parsing: Wie Lisp-Datenstrukturen (Lists, Vectors, HashMaps) sowie spezifische Datumsformate auf BSL-Objekte abgebildet und transformiert werden. Sprachkern & Metaprogrammierung: Die schrittweise Implementierung von Variablenbindungen (let), Kontrollstrukturen (do), anonymen Funktionen (fn) und Konstanten (quote). Zudem betrachten wir die Mächtigkeit von Makros sowie das Zusammenspiel von Code und Daten. Lernziele & Praxisnutzen: Teilnehmer lernen interaktiv, wie der Bau einer eigenen Sprache das Werkzeugset für komplexe Sonderaufgaben in Business-Plattformen radikal erweitern kann.
11:15
60 min

Public Money, Public Containers

Gehärtete Open-Source-Container-Images aus der Öffentliche Verwaltung für alle
It’s the end of the world as we know it – Prepping for crisis with FLOSS HS 1/2 de
Moderne digitale Verwaltungsinfrastruktur wird auf einer containerbasierten Infrastruktur betrieben – aber woher kommen die sicheren Container-Images? Aktuell überwiegend von US-amerikanischen Anbietern, mit allen bekannten Lock-in-, Datenhoheits-...
Warum gehärtete Container aus Europa? Container sind die Basistechnologie moderner Verwaltungs-IT – von der Bundes-Cloud PLAIN bis zur Office-Suite openDesk. Wer die Container kontrolliert, kontrolliert einen erheblichen Teil der digitalen Infrastruktur. Heute ist diese Kontrolle stark konzentriert: Wenige (überwiegend US-amerikanische) Anbieter dominieren den Markt für gehärtete Container-Images, oft hinter proprietären Subscription-Modellen. Für die öffentliche Verwaltung ist das aus mehreren Gründen problematisch: - Datenhoheit & Lieferkette: Kompromittierte oder politisch motiviert manipulierte Basis-Images sind ein realer Angriffsvektor – die Software-Supply-Chain-Wellen 2025/26 (Shai-Hulud, Mini Shai-Hulud) haben das schmerzhaft gezeigt. - Lock-in: Proprietäre Härtungslösungen erzeugen Migrationsbarrieren und Abhängigkeiten, die der IT-Planungsrat in seiner Souveränitätsstrategie explizit als strategisches Risiko benennt. - Compliance: BSI IT-Grundschutz, CRA, NIS2 – die regulatorischen Anforderungen an Container in regulierten Umgebungen steigen, während die operativen Ressourcen der Verwaltung knapp bleiben. container.gov.de und die SGCI container.gov.de ist das...
11:15
60 min

Der Open Source Stack für souveräne LLMs

Eine Einführung ins "Inference Engineering"
Other HS 3 de
Kleine und mittelgroße Open-Weight-Modelle holen in ihren Fähigkeiten rasant auf und laufen auf der eigenen Infrastruktur. Manche behaupten sogar, sie seien die Zukunft und könnten proprietäre Cloud-Anbieter als Standard-Weg für die Nutzung von KI...
Dieser Vortrag führt in das Thema „Inference Engineering“ ein und zeigt, wie sich der schnell wachsende Zoo an Tools und Konzepten sinnvoll strukturieren lässt. Denn sobald man über erste Spielereien mit Ollama hinausgeht, wird das Thema schnell zum Rabbit Hole. Begriffe und Technologien fliegen einem um die Ohren: KV-Cache, TurboQuant, Prefill/Decode Disaggregation, MoE-Modelle, vLLM vs. SGLang, LiteLLM vs. Portkey, KServe vs. llm-d vs. Dynamo, ... Im ersten Teil des Vortrags räumen wir dieses Chaos auf und entwickeln ein Schichtenmodell des „Inference Stacks“. Ziel ist ein mentales Modell, das hilft, neue Technologien schnell einzuordnen und Zusammenhänge zu verstehen. Darauf aufbauend betrachten wir konkrete Open-Source-Stacks und typische Deployment-Szenarien: vom lokalen Setup mit kleineren, quantisierten Modellen bis hin zu GPU-basierter Inferenz im eigenen Cluster. Dabei geht es weniger um alle Details einzelner Tools als um deren Einordnung und Zusammenspiel. Der Vortrag richtet sich an Entwickler:innen und Architekt:innen, die LLMs nicht nur konsumieren, sondern verstehen und selbst betreiben wollen – sei es aus Interesse an Open Source, aus Compliance-Gründen oder für...
11:15
60 min

Wohin führt der Weg von LibreOffice?

Other HS 8 de
Der Vortrag gibt einen Überblick über das LibreOffice-Projekt. Dabei werden auch die letzten Ereignisse den letzten beiden Jahren sowie aus diesem Jahr thematisiert. Danach geht es um den Plan für die künftige Entwicklung des Projektes und wie man...
Der Vortrag gibt einen Überblick über das LibreOffice-Projekt. Dabei werden auch die letzten Ereignisse den letzten beiden Jahren sowie aus diesem Jahr thematisiert. Danach geht es um den Plan für die künftige Entwicklung des Projektes und wie man Teil davon werden kann.
11:15
60 min

Open Source gibt es doch gratis! Warum dafür zahlen?

Someone gonna pay - is it you? – Funding for Open Source HS 5 de
Open Source wird oft gleichgesetzt mit „kostet nichts“. In Wahrheit kostet es u.a. die Freizeit anderer Leute. Daneben gibt es auch versteckte Kosten bei der Verwendung, wie zum Beispiel die Einarbeitung und die Pflege in der eigenen Software. Da...
11:15
60 min

KI-Modelle haben keine Werte. Sie haben Wahrscheinlichkeiten.

AI-Compliance-Evidence gehört in euer Repo — lokale CrowS-Pairs-Runs, AI-BOMs und hash-verifizierbare Bundles
Who can you trust? – Making and accepting contributions in 2026 HS 4 de
Wem traust du, wenn ein Vendor-Dashboard ein KI-Modell als "nicht biased" abnickt? Bias zeigt sich selten im offensichtlichen Output, sondern in dem, was ein Modell wahrscheinlicher findet. Eine grüne Compliance-Ampel löst dieses Evidence-Problem...
Bias bei KI-Modellen ist selten der spektakuläre Ausrutscher im Output, sondern die statistische Schieflage darunter: die konsistente Präferenz eines Modells für die stereotype Satzvariante in den Wahrscheinlichkeitsverteilungen, mit denen es rechnet. Modelle haben keine Werte, sondern Wahrscheinlichkeiten und genau diese Wahrscheinlichkeiten können in eine bestimmte Richtung verschoben sein, ohne dass es im sichtbaren Output sofort auffällt. Genau dort beginnt das Problem für Entwicklerinnen und Entwickler, Compliance-Teams und Auditor:innen. CrowS-Pairs macht diese Schicht sichtbar. Statt ein Modell zu fragen "Bist du biased?" — ungefähr so sinnvoll wie einen Build zu fragen, ob er reproduzierbar ist , vergleicht die Methode stereotype und anti-stereotype Satzpaare über Log-Probabilities. Daraus entsteht eine dokumentierte Stereotyp-Präferenz: kein Moralurteil, kein Compliance-Freifahrtschein, sondern ein nachvollziehbares Messprotokoll. Der Bias-Score ist kein Heiligenschein. Er ist Evidence. Die zweite Hälfte des Problems ist das Format. Ein Bias-Score in einem Vendor-Dashboard ist schwer zu prüfen, schwer zu versionieren und schwer in CI-Pipelines, Code-Reviews oder Audits...
12:30
60 min

KDE at 30: Looking Both Ways

HS 1/2 en
A look back and forward into KDE's life.
This year 2026, KDE turns 30! After three decades, this project born in Tübingen is not only alive but bigger than ever. We will take a look back into its history, discuss what it stands for nowadays and where it's going in the future.
13:45
60 min

Small Clouds & Boring Tech

Wie wir erfolgreich AWS verlassen haben
Cloud HS 7 de
Die Höhen und Tiefen unseres Wechsels weg von den Hyperscalern und wie einfache Clouds und „langweilige“ Technologie es uns ermöglichen, erfolgreich zu sein.
Viele großartige Webanwendungen werden von kleinen Teams mit nur einer Handvoll Mitarbeiter:innen entwickelt. Die gängigen Vorstellungen für größere Unternehmen mit mehreren Teams treffen auf diese Teams nicht zu, und das gilt insbesondere für den Betrieb. Bei fejo.dk haben wir uns entschieden, die Hyperscaler hinter uns zu lassen. In diesem Vortrag sprechen wir über die Höhen und Tiefen dieses Wechsels und darüber, wie einfache Clouds und „langweilige“ Technologie es kleinen Teams ermöglichen, erfolgreich zu sein. Unser Ziel war und ist es, die gesamte Infrastruktur so überschaubar wie möglich zu gestalten. Der Wechsel der Cloud war nur ein Teil davon; ein weiterer Teil bestand darin, die bisher verwendeten Tools und Infrastrukturkomponenten sorgfältig zu evaluieren und alles zu entfernen, was nicht unbedingt notwendig war.
13:45
60 min

Der Reichweitenmythos debunked

Was haben Promis und Social Media Trends mit dem Fediverse zu tun?
Culture HS 6 de
"Klar sind Instagram, TikTok und Twitter Scheiße, aber im Fediverse habe ich keine Reichweite.", dieser Satz fällt immer wieder, wenn es darum geht, Menschen von freien dezentralen Social Media Diensten zu überzeugen. Aber stimmt diese Behauptung...
Viele nutzen Social Media, um eine möglichst große Reichweite aufzubauen, um wiederum möglichst vielen Menschen ihre Inhalte zu präsentieren. Dieses "Höher, weiter, schneller!" passt auf den ersten Blick überhaupt nicht zur dezentralen Welt von Mastodon, PeerTube und Co. Doch stimmt das noch? Schließlich hat sich das Netzwerk in den letzten Jahren so sehr verändert, dass es mittlerweile einige Szenepromis mit mehreren tausenden Folgenden gibt. Außerdem wünschen sich viele, dass mehr bekannte Menschen in das Fediverse kommen. Doch was gibt es für diese für Anreize? Und steht dieser Wunsch nicht im Widerspruch zur Netzwerkkultur, in der sich alle auf Augenhöhe begegnen können? Dieser Vortrag soll einen Einblick in aktuelle Entwicklungen im Fediverse, Fachbegriffe aus der Social Media Welt und der Funktionsweise des Netzwerkes geben. Und vielleicht können wir zusammen die Frage beantworten, ob es überhaupt möglich ist, im Fediverse reich und berühmt zu werden.
13:45
60 min

Kinderrechte (nicht nur) im Netz

Ein Überblick über Kinder, ihre Rechte und ihre Begleitung ins Digitale
Education HS 3 de
Das Internet ist böse, Social Media gefährlich, und Kinder brauchen Schutz. So weit glauben das viele verstanden zu haben, insbesondere Politiker*innen und oft auch Medienpädagog*innen und Eltern. Und so ganz falsch ist es ja auch nicht. Doch wie...
Das Internet, das Web und seine Angebote sind ein wichtiger Teil der realen Lebenswelt, auch von Kindern und Jugendlichen. In diesem Vortrag wollen wir das Thema Kinder und Jugendliche, ihre Rechte und den Schutzauftrag von Schulen, Pädagog*innen und Eltern einmal beleuchten. Und das nicht nur begrenzt auf Online-Themen – auch oft missverstandene Themen wie die berüchtigte »Aufsichtspflicht« wollen wir klären und was Kinderschützer eigentlich gegen ein Social-Media-Verbot haben. Am Ende stehen konkrete Vorschläge, wie wir junge Menschen selbstbestimmt, frei, aber trotzdem begleitet und sicher, in die digitale Welt bringen können – z. B. auch in die sozialen Netzwerke des Fediverse.
13:45
60 min

Richtig schlecht über Technik schreiben

... und wie man Texte nicht komplett versemmelt.
Other HS 8 de
Ob Blog-Beiträge, technische Dokumentationen, Fachartikel oder eine Masterarbeit: In diesem Vortrag verraten wir, wie man möglichst schlecht und unverständlich über Technik schreibt. Angefangen bei lustig hüpfenden Deppenapostrophen, über...
Freitagnachmittag, kurz vor halb Sechs in Deutschland. Für den wohlverdienten Feierabend fehlen nur noch die Quartalszahlen aus dem letzten Jahr. Sie stecken in irgendeinem alten Dokument in den Untiefen des eigenen Rechners. Netterweise gibt es für solche Fälle den Spürhund Grep. Die Internetsuchmaschine des Vertrauens zaubert rubbeldiekatz dessen deutsche Anleitung hervor. Eine Stunde später klebt das bereits im Wochenende weilende Hirn immer noch am Satz „Reguläre Ausdrücke werden analog zu arithmetischen Ausdrücken aufgebaut: Sie werden mit Hilfe verschiedener Operatoren aus kleineren Ausdrücken zusammengesetzt.“ [https://manpages.debian.org/testing/manpages-de/grep.1.de.html] Nicht nur in der Dokumentation von Grep warten zahlreiche Sätze, die geneigte Leser und Leserinnen erst nach mehrmaligen Anläufen oder dem Kauf von überteuerten Fachbüchern verstehen. Derlei mysteriöse Wörterschlangen lauern in Blog-Beiträgen, Referenzhandbüchern, Pressetexten und in Masterarbeiten. Jedes gute Unternehmen führt zudem ein Wiki mit hastig aus dem Internet kopierten Textschnipseln, die niemand mehr erklären oder zuordnen kann. PR-Agenturen verstecken die eigentlichen Informationen gut...
13:45
60 min

Cyber Resilience Act: Frag die Experten

So lange Gesetzestexte, so viel Fehlinformationen und Unsicherheit? Hier gibt es Antworten.
Other Workshop (C115) de
Was ist der Cyber Resilience Act (CRA) und wie wirkt er sich auf mich und meine Aktivitäten aus? Eine Sicht aus der FOSS-Perspektive. Kurzeinführung in das Gesetz, die Rechte und Pflichten, danach Fragerunde.
Keine Panik, das Gesetz ist handwerklich sauber, gut lesbar und explizit FOSS-freundlich. Die beiden Vortragenden sind aktiv in der Standardisierung für den Cyber Resilience Act und haben auch im Vorfeld vor der Verabschiedung des CRA mitgewirkt.
13:45
150 min

Linux Patch-Management mit Foreman und Katello

Hands-On und Best Practices
Patch it, fix it, print it – Right to repair for software and hardware Workshop (C117) de
Nicht nur die letzten CVEs haben gezeigt: auch Linux-Systeme wollen zeitnah gepatcht werden. In größeren Systemlandschaften ist das eine Aufgabe, die reproduzierbar und zeitsparend gelöst werden will. Mit Foreman/Katello gibt es eine mächtige...
Linux ist fester Bestandteil des IT-Alltags. Es wird auf Servern und im Embedded-Bereich eingesetzt und für viele ist auch schon lange das Jahr des Linux-Desktops. Möglicherweise bist Du selbst für einige Systeme verantwortlich und versuchst diese aktuell zu halten. Mit steigender Systemanzahl wird es schwieriger, den Überblick über den Zustand der Infrastruktur zu behalten und z.B. kurzfristig auf CVEs zu reagieren. In diesem Workshop schauen wir uns an, wie wir die Situation mit einem zentralen Patch-Management verbessern können. Wir konfigurieren Foreman und Katello um Software-Pakete und Patches für Clients lokal vorzuhalten. Wir beleuchten, wie wir sicherstellen können, dass Systeme kontrolliert aktualisiert werden können. Auch werden wir die Systeme zentral mit gängigen Werkzeugen wie Ansible konfigurieren und auditieren und übliche Administrationsaufgaben ausführen. Damit Du möglichst viel aus dem Workshop mitnimmst, halten wir die Theorie so klein wie möglich und erarbeiten uns die Lösungen gemeinsam praktisch. Hierfür benutzen wir VMs in der Cloud, die Du nach dem Training auch auf deinem Laptop benutzen kannst.
13:45
60 min

Vereinsregister statt Rewrite: Wie Samba ein neues Fundament bekommt

Community-Autorität, nachhaltige Finanzierung und institutionelle Verantwortung im Samba-Ökosystem
Someone gonna pay - is it you? – Funding for Open Source HS 1/2 de
Samba erfindet sich neu, ohne Samba neu zu erfinden. Als freie Software ist Samba in vielen Infrastrukturen unsichtbar, aber unverzichtbar: für File Services, Interoperabilität und Identity & Access Management zwischen Unix/Linux- und...
Die Samba Foundation entsteht in Berlin. Damit bekommt das Samba-Ökosystem einen neuen institutionellen Rahmen. Das ist der sichtbare Schritt. Die eigentliche Geschichte dahinter lautet: Ein wichtiges Open-Source-Projekt organisiert Verantwortung neu, ohne sich selbst umzubauen. Samba ist nicht nur „Filesharing“. Samba verbindet Unix/Linux- und Windows-Welten, implementiert zentrale Protokolle für heterogene IT-Umgebungen, kann als Active-Directory-kompatibler Domain Controller betrieben werden und ist damit auch ein wichtiger Baustein für Identity & Access Management, Interoperabilität und digitale Souveränität. Mit Projekten wie Himmelblau reicht diese Linie weiter in aktuelle Fragen der Linux-Integration mit Entra ID und Intune. Samba ist damit an vielen Stellen unsichtbar – aber unverzichtbar. Die Förderung durch den Sovereign Tech Fund in den Jahren 2024 bis 2026 hat dies deutlich gemacht: Sie ermöglichte gezielte, relevante Arbeit an Sicherheit, Interoperabilität, Skalierbarkeit und Zukunftsfähigkeit von Samba. Zugleich stellt sie eine strukturelle Frage: Wie wird aus zeitlich begrenzter Förderung dauerhafte Unterstützung? Technisch bleibt Samba ein von Community und...
13:45
60 min

Wrong Pocket: Why Public Funding Alone Can't Sustain Open Source

Tax money funds FOSS infrastructure that corporations extract value from for free.
Someone gonna pay - is it you? – Funding for Open Source HS 5 en
Everyone agrees open source needs funding. Sovereign tech funds and public grants sound like the right answer. They don't scale, and they end up subsidizing the same corporations extracting value from the stack. There's a better mechanism already:...
The funding debate has found its comfortable answer: sovereign tech funds, public grants, government stepping in. It's well-meant and probably necessary. And it has a structural problem that doesn't get discussed much: the main beneficiaries of publicly funded open source maintenance are the companies building commercial products on top of that infrastructure, with no obligation to contribute anything back. The mechanism to change this already exists and is barely used. Banks, insurers, public sector vendors ship products where 60–95% of the code is open source and basic license obligations routinely go ignored. No attribution notices. No source code offers. No compliance documentation. The liability is real; I've worked on incidents that reached seven-figure exposure. But without enforcement there's no perceived risk, and without perceived risk there's no resource allocation. No enforcement means no sustainability. The chain is that short. What happens when enforcement actually occurs? Companies clean up their dependency trees. They engage with upstream projects. OSPOs get created. Maintainers get paid. Not because someone asked nicely. IT security got its resources through the...
13:45
60 min

Security is not a Crime: Warum wir die Kriminalisierung der IT-Sicherheit beenden müssen

Ein Plädoyer für digitale Zivilcourage, Open Source und echte IT-Resilienz
Who can you trust? – Making and accepting contributions in 2026 HS 4 de
Wenn ein Statiker einen Riss in einer Brücke entdeckt, wird er für seinen Hinweis gefeiert. Entdeckt eine IT-Sicherheitsforscherin eine kritische Lücke in staatlicher Software, droht ihr in Deutschland oft die Staatsanwaltschaft. Warum...
Wir schreiben das Jahr 2026. Während neue Gesetze wie NIS-2 und das Kritis-Dachgesetz Unternehmen zu maximaler Resilienz verpflichten, behindert das deutsche Computerstrafrecht (§ 202c StGB) weiterhin die Menschen, die unsere Systeme tatsächlich absichern. Dieser Vortrag analysiert, warum das aktuelle rechtliche Narrativ den technologischen Realitäten und dem Open-Source-Ethos massiv entgegensteht. Wir beleuchten den notwendigen Wandel auf drei zentralen Ebenen: Technisch: Warum wir "Responsible Disclosure" und verschlüsselte Meldekanäle als Standard für digitale Souveränität brauchen, um Schwachstellen nicht zu verstecken, sondern zu schließen. Gesellschaftlich: Wir dekonstruieren das Zerrbild des "kriminellen Hackers" und positionieren Sicherheitsforschung als Form des digitalen Whistleblowings, das unsere Infrastruktur schützt. Politisch: Wir fordern eine Reform, die sich an europäischen Standards orientiert und Sicherheit durch Kooperation statt durch Kriminalisierung erreicht. Dabei schlagen wir die Brücke zum FrOSCon-Motto "Wem kannst Du noch trauen?": Open Source ist hierbei nicht nur eine Lizenzform, sondern das einzige Vertrauensmodell für eine transparente,...
15:00
60 min

To Boldly Share Where No One Has Shared Before

Culture HS 6 de
Was haben die Vereinte Föderation der Planeten und die Free Software Foundation Europe gemeinsam? Überraschend viel. Beide feiern dieses Jahr Jubiläum. Beide träumen von einer besseren Zukunft. Und beide haben verstanden, dass der Schlüssel dazu...
15:00
60 min

Backup-Infrastructure with pgBackRest

Databases HS 7 en
This talk provides an overview of building reliable and scalable backup infrastructures with pgBackRest for modern PostgreSQL environments.
This talk provides an overview of building reliable and scalable backup infrastructures with pgBackRest for modern PostgreSQL environments. We will explore different backup architecture patterns, ranging from single-node deployments using DAS, SAN, or NAS storage to more advanced setups with dedicated repository hosts using SSH, TLS, S3, or Networker integrations. In addition, the session covers backup strategies for PostgreSQL replication clusters and discusses how centralized repository hosts can improve security, scalability, and operational flexibility. The talk focuses on practical infrastructure designs, operational best practices, and real-world considerations for building resilient PostgreSQL backup solutions.
15:00
60 min

Patch für Patch – Die Reise eines Neulings zur Linux-Kernel-Contribution

Development HS 1/2 de
Dieser Vortrag beschreibt meine Reise zur ersten Contribution im Linux‑Kernel: von der Idee für einen Treiber über Design und Implementierung bis zur Diskussion auf der Mailingliste und der Aufnahme in den Kernel.
Seit Jahren erkläre ich in Videotutorials auf YouTube, wie man Linux‑Treiber entwickelt — obwohl bislang noch keine Zeile meines Codes in den Kernel gelangt ist. Um etwas Street‑Credibility zu gewinnen, habe ich mir ein Ziel gesetzt: ein eigener Treiber muss in den Kernel. 2023 ergab sich dank eines Zuschauers die Chance: ich fand ein Gerät ohne vorhandenen Treiber, das zugleich einfach genug für eine Erstimplementierung war. In diesem Vortrag nehme ich euch mit auf meine Reise zur ersten Linux‑Kernel‑Contribution. Ich zeige den kompletten Ablauf: von der Geräteanalyse und Treiberarchitektur über Entwicklung und Test bis zur Einreichung und der anschließenden Diskussion auf der Kernel‑Mailingliste. Ihr lernt praktische Techniken zum Treiber‑Coding, typische Fallstricke und wie die Review‑ und Aufnahmeprozesse im Kernel funktionieren.
15:00
60 min

Verkuppeln unter Linux

Wie Treiber und Geräte zueinander finden
Other HS 8 de
Eine Vorstellung des Linux-Treibermodells mit Schwerpunkt auf die Verfolgung von Abhängigkeiten und wie man dessen Probleme mit Tools wie ftrace, dev_err_probe, oder fw_devlink debuggen und beheben kann.
Geräte stellen sich vor. Treiber schauen ob sie zu den Geräten passen. Was auf den ersten Blick einfach erscheint, kann im alltäglichen System-on-Chip-Betrieb recht kompliziert sein: Geräte können sich weigern, was über sich Preis zu geben, erfordern einen Tanz, bevor sie ansprechbar sind, oder weisen – unter Umständen zirkuläre – Abhängigkeiten zu anderen Geräten auf. Wird dies nicht berücksichtigt, hat man unverkuppelte Geräte, verzögerte Erkennungsvorgänge und – wenn man wirklich Pech hat – Laufzeitprobleme bis hin zum Hardware-Schaden. Ahmad ist über eine ganze Reihe solcher Probleme gestolpert, sei es während initialer Hardware-Inbetriebnahmen, nach Kernel-Updates oder bei der Portierung von Linux-Treibern zum barebox-Bootloader. In seinem Vortrag stellt er das Linux-Treibermodell vor mit Schwerpunkt auf die Verfolgung von Abhängigkeiten und erläutert, wie man Probleme mit Tools wie ftrace, dev_err_probe, oder fw_devlink debuggt und behebt.
15:00
60 min

What Works Today Should Work Tomorrow: notes from a 23-year codebase

What the right to repair means in open-source, and how to keep it actually working over time.
Patch it, fix it, print it – Right to repair for software and hardware HS 3 en
Right to repair is usually a hardware story, but open-source infrastructure faces its own version: the discipline of keeping software actually working over decades. NetXMS started in 2003 and still runs on AIX, Solaris, older RHEL, Windows 7...
On 30 March 2026 at 18:55, I wrote to my boss: "Server crashes every second build on 32-bit ARM. Caught it under gdb but I don't yet understand." At 20:39 the same evening I committed the fix: fifteen format-string changes in one file. A %u specifier with a uint64_t argument — harmless on 64-bit by design (every variadic argument occupies the same 8-byte slot, so the truncation doesn't shift the next argument's offset) but fatal on 32-bit ARM, where a uint64_t needs two slots and %u reads one, the offset shifts, and you end up calling wcslen(NULL). The kind of bug that only surfaces if you still build for 32-bit ARM in 2026, on a project that started in 2003. Right to repair is usually a hardware story — schematics, parts, the right to open your toaster, or, in the European citizens' initiative now past first review, the right not to lose a video game when its servers go dark. Open-source can't be killed by decree: even if a team folds, the code survives, and someone else can keep it running. What stays harder is keeping it actually working over time. That's the obligation I want to talk about. Banks and industrial systems running NetXMS on AIX or Solaris — specialist Unix...
15:00
90 min

BSI Grundschutz für Container und Kubernetes in KRITIS Umgebungen

Wie bestehe ich einen Audit für SYS 1.6 Containerisierung und APP 4.4 Kubernetes in kritischer Infrastruktur
Security Workshop (C115) de
Zusammenfassung von 10 Erfahrungen in Kubernetes Sicherheitsworkshops.
Nach 10 Jahren Workshops für Unternehmen von drei bis vielen Buchstaben ist es mal an der Zeit, die typischen Ergebnisse zusammenzufassen und zu zeigen, was meistens fehlt.
15:00
60 min

Canvassing for the commons

A story of finding funding for Arch Linux related projects
Someone gonna pay - is it you? – Funding for Open Source HS 5 en
Come along for a journey through the trenches of trying to find funding for projects related to a community-run Linux distribution.
Community-driven projects are notoriously understaffed and underfunded. Even a fairly popular Linux distribution such as Arch Linux struggles to keep up with bug fixes and features for its own projects. Under these circumstances long-running maintenance work or developing novel approaches to long standing problems mostly results in nothing more than wishful thinking. With the rise of dedicated software funds, the free software ecosystem at large has a few avenues at its disposal. In this talk I will provide background information and first hand experience with various publicly accessible funds, as well as corporate funding for projects related to Arch Linux. Together, we will dive into concrete numbers, best practices, pitfalls and what it means to be a freelance software developer in this ecosystem, that is competing over the funding from various sources.
15:00
60 min

Code Generation is O(1), Code Review is O(n)

The New Economics of FOSS Maintainership
Who can you trust? – Making and accepting contributions in 2026 HS 4 en
AI didn't make software cheaper. It moved the cost from writing code to understanding it, and dumped that bill on maintainers who never agreed to pay it.
For decades the bottleneck in open source was writing the code. Agentic tooling collapsed that cost to near zero, and quietly relocated it. The work didn't vanish; it migrated downstream to reviews, where understanding a confidently-wrong 600-line PR now costs more than writing it would have. This talk names the mechanism: generation is O(1) for the contributor, comprehension is O(n) for the maintainer. Every symptom we're complaining about in 2026, the PR firehose, the slop, reviewer burnout, the eerie sense that contribution got easier while maintaining got worse, is the same asymmetry wearing different hats. I maintain projects that now receive PRs written by people who didn't read the code they submitted. I'll walk through real examples (the good, the cursed, the load-bearing misunderstanding) and show why our entire governance vocabulary, DCO, review, reputation, "looks good to me", was built for a world where authoring something was evidence you understood it. That evidence is now gone. This is the diagnostic half. I argue the asymmetric-effort problem is the root cause beneath most AI-and-FOSS anxiety, that pretending it's a tooling problem or a "just review harder"...
16:15
60 min

Bringing back the Open in Open Source: (Re-)Building Community after forks and acquisition

Culture HS 6 en
Open source projects get forked. They get acquired. They lose contributors, fracture communities, and sometimes quietly stop being open in a meaningful sense. This talk uses ownCloud's history as an honest case study in what goes wrong and what it...
The phrase "open source" carries a lot of weight, and not all of it is as open and honest as it should be. A project can be open source by license and still be effectively closed in every way that matters to contributors: opaque roadmaps, decisions made behind closed doors, community input that gets acknowledged and ignored. ownCloud knows some of this firsthand. This talk is a case study, not a redemption arc. We'll start with ownCloud's origins and the context that led to the 2 forks (one of the more significant splits in the self-hosted software space), then trace what a decade of incomplete open governance actually costs a project: contributor drift, community distrust, and the kind of reputational debt that doesn't show up on any balance sheet until you try to spend it. The second and thrid parts are about what changed. Kiteworks took on commercial stewardship of ownCloud and faced a choice that a lot of companies in similar positions avoid making clearly: keep doing what wasn't working, or build something more honest. This section will also cover the Community Advisory Board model we're building toward. This isn't a talk for people who want reassurance that open source is...
16:15
60 min

KDE Linux, BuildStream and Hope

Thoughts on build systems for operating systems
Development HS 3 en
In this presentation I'll discuss the ongoing port of KDE Linux to use BuildStream. Rather than describing the work done and to be done, we'll discuss the why, the difficulties this brings and what kind of opportunities does it unveil....
16:15
60 min

Sydbox: A highly paranoid, innovative sandbox for Linux

Security HS 7 en
Sydbox is a sandbox, designed to contain and isolate processes from each other - similar to Bubblewrap, Firejail, GVisor, and minijail. By being very paranoid and leveraging as many of the tools that the linux kernel gives us it manages to do some...
16:15
60 min

FrOSCon npm install und plötzlich haftbar

Der Cyber Resilience Act, die Lieferkette und das Vertrauen in freie Software
Security HS 1/2 de
Im September 2025 genügte eine einzige Phishing-Mail an einen npm-Maintainer, um binnen rund 16 Minuten Schadcode in 18 zentrale Pakete mit über 2 Milliarden Downloads pro Woche einzuschleusen. Wem können wir noch trauen, wenn wir gemeinsam an...
Eine Phishing-Mail, eine übernommene Maintainer-Identität, rund 16 Minuten bis zum verteilten Schadcode – und 2,5 Millioen Downloads betroffen: Der npm-Vorfall um chalk und debug im September 2025 war nur einer von mehreren Lieferkettenangriffen dieses Jahres. Niemand hatte böse Absicht, alle haben einem Maintainer vertraut – und genau dieses Vertrauen wurde zur Schwachstelle. Das ist der Ausgangspunkt dieses Vortrags. Die EU gibt mit dem Cyber Resilience Act (CRA) eine regulatorische Antwort auf die Frage, wem man in der Software-Lieferkette noch trauen kann. Ab dem 11. September 2026 greifen die ersten verbindlichen Pflichten, ab dem 11. Dezember 2027 gilt die Verordnung vollständig. Der Vortrag ordnet die Rechtslage verständlich ein – ganz ohne juristisches Vorwissen. Im Einzelnen geht es um: Das Grundgerüst des CRA: Was ist ein „Produkt mit digitalen Elementen", welche Pflichten treffen Hersteller, und wie ist die Zeitschiene wirklich? Verantwortung in der Lieferkette: Wer fremde Komponenten integriert, auch Open Source Software, trägt Sorgfalts- und Meldepflichten. Der FOSS-Sonderweg: Unter welchen Voraussetzungen Open Source Software in den Anwendungsbereich des CRA fällt...
16:15
60 min

The Changing State of Openness in Android

What has happened? Where is it heading to? And how does the community adapt?
Unbreak your phone – A life without iOS and Android HS 8 en
In this talk, I want to give an overview of the changes that Google has introduced in the past twelve months in the Android ecosystem and how they are affecting Android users, device manufacturers, custom ROM maintainers and the open-source...
Last year, Google announced the introduction of Android Developer Verification and upcoming restrictions for Android Application sideloading on Android-certified devices. This caused a wave of opposition in the open-source community and led to the creation of the "Keep Android Open" initiative. Projects like UnifiedPush, have seen an increased interest and ideas for a Unified Attestation framework are emerging. Apart from that, there are further changes that Google has made to the development process of the AOSP that affect AOSP developers and custom ROM maintainers, like LineageOS or GrapheneOS. For example, the Pixel phone was dropped as a reference device from the AOSP tree and the count of security patch releases was reduced. In this talk, I want to discuss these examples, along with other developments that have occurred over the last twelve months.
17:15
15 min