[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-content-tech-news-der-woche-kw-17":3},"\u003Cp>KW 17 war keine Frontend-Framework-Woche im klassischen Sinn — kein Vue-Release, kein Nuxt-Update, kein React-Blogpost. Und trotzdem ist in der Frontend-Welt etwas Bemerkenswertes passiert: MDN hat React aus dem eigenen Stack entfernt. Parallel dazu erzählt ein Hacker-News-Thread mit 869 Punkten die Geschichte einer Hetzner-Migration, Vercel hat einen Security-Incident, Node.js und Raspberry Pi OS bekommen solide Updates, und Docker zeigt, wie man in wenigen Minuten prüft, ob ein Hugging-Face-Space auf Arm64 läuft. Los geht's.\u003C\u002Fp>\n\n\u003Ch2>MDN ersetzt React durch Web Components\u003C\u002Fh2>\n\u003Cp>Der \u003Ca href=\"https:\u002F\u002Fjavascriptweekly.com\u002Fissues\u002F781\" target=\"_blank\" rel=\"noopener noreferrer\">JavaScript Weekly Issue 781\u003C\u002Fa> hat es als Titelstory: \u003Cstrong>\"Under the Hood of MDN's New Frontend\"\u003C\u002Fstrong>. Mozilla hat das MDN-Frontend \u003Ca href=\"https:\u002F\u002Fdeveloper.mozilla.org\u002Fen-US\u002Fblog\u002Fmdn-new-frontend-architecture\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">komplett neu gebaut\u003C\u002Fa> — und React rausgeworfen. Die neue Basis: native Web Components. Kein Framework-Runtime, kein Hydration-Overhead, kein JavaScript-Bundle für Content-Seiten, die primär Text ausliefern.\u003C\u002Fp>\n\u003Cp>Das ist erstmal eine Ingenieur-Entscheidung für eine bestimmte Website-Klasse: Content-zentrisch, SEO-kritisch, multilingual, extrem traffic-stark. Für interaktive Enterprise-Anwendungen bleibt React selbstverständlich die solide Wahl. Aber das Signal ist trotzdem hart: Wenn ausgerechnet die offizielle Web-Developer-Referenzseite erklärt, dass React für ihren Anwendungsfall der falsche Hebel ist, dann verschiebt sich die Standard-Antwort auf \"Was nehme ich für eine neue Website?\" spürbar.\u003C\u002Fp>\n\u003Cp>LogRocket hat passend dazu in derselben Woche \u003Ca href=\"https:\u002F\u002Fblog.logrocket.com\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">zwei Analysen zum selben Thema\u003C\u002Fa> veröffentlicht: \"When to move API logic out of Next.js\" (Route-Handler-Skalierungsgrenzen, ElysiaJS als Alternative) und \"Astro vs Next.js: When SSG beats React for content sites\". Der Zeitgeist: Weniger Framework für content-heavy Workloads, mehr Framework nur dort, wo tatsächlich Interaktivität im Spiel ist.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Quelle:\u003C\u002Fstrong> \u003Ca href=\"https:\u002F\u002Fjavascriptweekly.com\u002Fissues\u002F781\" target=\"_blank\" rel=\"noopener noreferrer\">JavaScript Weekly #781\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fdeveloper.mozilla.org\u002Fen-US\u002Fblog\u002Fmdn-new-frontend-architecture\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">MDN Blog\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fblog.logrocket.com\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">LogRocket\u003C\u002Fa>\u003C\u002Fp>\n\n\u003Cfigure>\n\u003Cimg src=\"\u002Fimages\u002Fblog\u002Fweekly-tech-news-kw17-web-components.webp\" alt=\"Modulare metallene Bausteine — Sinnbild für native Web Components statt Framework-Stack\" loading=\"lazy\">\n\u003C\u002Ffigure>\n\n\u003Ch2>Hetzner bleibt 60 % günstiger als DigitalOcean — trotz Preiserhöhung\u003C\u002Fh2>\n\u003Cp>Der Hacker-News-Top-Thread der Woche mit 869 Punkten: \u003Ca href=\"https:\u002F\u002Fnews.ycombinator.com\u002Fbest\" target=\"_blank\" rel=\"noopener noreferrer\">Migrating from DigitalOcean to Hetzner\u003C\u002Fa>. Ausgangslage: DigitalOcean kassiert Monat für Monat rund 1.432 US-Dollar für eine Infrastruktur, die ein kleines Team problemlos auf Hetzner für 233 US-Dollar pro Monat betreiben kann. Die Hetzner-Preiserhöhung von 30-37 Prozent zum April 2026 ändert daran nichts Relevantes — Hetzner bleibt ungefähr 60 Prozent günstiger.\u003C\u002Fp>\n\u003Cp>Die Case Studies im Thread zeigen zwei Muster. Erstens: Das Kostendelta ist nicht linear mit der Größe, sondern wird bei datenintensiven Workloads und Bandbreite besonders deutlich — Bandwidth inklusive statt teuer pro Gigabyte. Zweitens: Die Migration ist operativ deutlich leichter geworden, weil Tooling wie \u003Ca href=\"https:\u002F\u002Fcoolify.io\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Coolify\u003C\u002Fa>, Dokploy und Kubernetes-Operatoren in den letzten zwei Jahren reif geworden sind.\u003C\u002Fp>\n\u003Cp>Für die DACH-Leser besonders relevant: Hetzner ist in Deutschland gehostet, fällt unter europäische Rechtsprechung und unterliegt nicht dem US-CLOUD-Act. Die Migrationswelle ist also nicht nur eine Kostendiskussion, sondern Teil des breiteren europäischen Souveränitätsnarrativs — das nebenbei in dieser Woche auch durch das \u003Cstrong>Euro-Office-Projekt\u003C\u002Fstrong> (\u003Ca href=\"https:\u002F\u002Fwww.reddit.com\u002Fr\u002Fselfhosted\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Nextcloud\u002FIONOS\u002FXWiki fork OnlyOffice\u003C\u002Fa>) und die \u003Ca href=\"https:\u002F\u002Fnews.ycombinator.com\u002Fitem?id=swiss-microsoft\" target=\"_blank\" rel=\"noopener noreferrer\">Schweizer Microsoft-Reduktions-Ankündigung\u003C\u002Fa> sichtbar wurde.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Quelle:\u003C\u002Fstrong> \u003Ca href=\"https:\u002F\u002Fnews.ycombinator.com\u002Fbest\" target=\"_blank\" rel=\"noopener noreferrer\">Hacker News — Hetzner Migration\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fwww.reddit.com\u002Fr\u002Fselfhosted\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Reddit r\u002Fselfhosted Weekly\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fcoolify.io\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Coolify\u003C\u002Fa>\u003C\u002Fp>\n\n\u003Ch2>Vercel-Security-Incident: OAuth-Kette bricht über Context.ai\u003C\u002Fh2>\n\u003Cp>Vercel hat am 16. April einen \u003Ca href=\"https:\u002F\u002Fvercel.com\u002Fblog\u002Fsecurity-incident-april-2026\" target=\"_blank\" rel=\"noopener noreferrer\">Security Incident veröffentlicht\u003C\u002Fa>. Nicht Vercel selbst war das Ziel, sondern eine kompromittierte OAuth-App eines Drittanbieters: \u003Cstrong>Context.ai\u003C\u002Fstrong>. Über die Context-App konnten Angreifer auf Vercel-Workspaces zugreifen und von dort auf verknüpfte Linear- und GitHub-Tokens. Betroffen waren Kunden, die Context.ai aktiv für Observability- oder Support-Workflows angebunden hatten.\u003C\u002Fp>\n\u003Cp>Das Muster ist weder neu noch überraschend, aber der Kontext wird wichtiger: Wir binden zunehmend agentische Tools (MCP-Clients, KI-Integrationen, Analytics-Agents) in unsere Plattformen ein, und jede dieser Integrationen ist ein eigener Token-Träger mit eigenem Rechte-Set. Wenn eine dieser Drittanbieter-Apps kompromittiert wird, fällt das gesamte OAuth-Kettenglied.\u003C\u002Fp>\n\u003Cp>Praktische Konsequenzen für die eigene Plattform-Hygiene: OAuth-Apps regelmäßig auditieren (welche Drittanbieter haben welchen Scope?), Token-Lifetimes so kurz wie möglich halten, kritische Scopes nur auf Zeit vergeben, und für produktive MCP-Flows bevorzugt Per-User-OAuth-Token-Storage statt Geräte-global geteilter Tokens. \u003Ca href=\"https:\u002F\u002Fgithub.com\u002FBerriAI\u002Flitellm\u002Freleases\" target=\"_blank\" rel=\"noopener noreferrer\">LiteLLM v1.83.7\u003C\u002Fa> hat in derselben Woche genau diesen Baustein bekommen.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Quelle:\u003C\u002Fstrong> \u003Ca href=\"https:\u002F\u002Fvercel.com\u002Fblog\u002Fsecurity-incident-april-2026\" target=\"_blank\" rel=\"noopener noreferrer\">Vercel Blog\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fnews.ycombinator.com\u002Fbest\" target=\"_blank\" rel=\"noopener noreferrer\">Hacker News Diskussion\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fgithub.com\u002FBerriAI\u002Flitellm\u002Freleases\" target=\"_blank\" rel=\"noopener noreferrer\">LiteLLM Releases\u003C\u002Fa>\u003C\u002Fp>\n\n\u003Ch2>Node.js 24.15.0 LTS &amp; Raspberry Pi OS 6.2\u003C\u002Fh2>\n\u003Cp>Solide, unaufgeregte Releases, die man gerne übersieht: \u003Cstrong>Node.js 24.15.0\u003C\u002Fstrong> wurde am 15. April als aktueller LTS-Release veröffentlicht. Bugfixes, Security-Patches, nichts Spektakuläres — aber wer noch auf 22er-LTS sitzt, sollte die Migration spätestens jetzt planen. Die \u003Ca href=\"https:\u002F\u002Fnodejs.org\u002Fen\u002Fblog\" target=\"_blank\" rel=\"noopener noreferrer\">offiziellen Release Notes\u003C\u002Fa> enthalten die übliche Mischung aus Dependency-Upgrades und kleineren Verbesserungen am \u003Ccode>node:test\u003C\u002Fcode>-Runner.\u003C\u002Fp>\n\u003Cp>Was Node.js weiterhin belastet: Das \u003Ca href=\"https:\u002F\u002Fnodejs.org\u002Fen\u002Fblog\" target=\"_blank\" rel=\"noopener noreferrer\">Bug-Bounty-Programm bleibt pausiert\u003C\u002Fa> — Finanzierung fehlt, trotz der Kritikalität der Runtime. Das ist einer der Punkte, an dem \"Open Source als kritische Infrastruktur\" regelmäßig klemmt.\u003C\u002Fp>\n\u003Cp>Parallel dazu bringt \u003Ca href=\"https:\u002F\u002Fwww.heise.de\u002Fnews\u002FRaspberry-Pi-OS-6-2-Update-verspricht-mehr-Sicherheit\" target=\"_blank\" rel=\"noopener noreferrer\">Raspberry Pi OS 6.2\u003C\u002Fa> (\u003Ca href=\"https:\u002F\u002Fwww.raspberrypi.com\u002Fnews\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Release am 15. April\u003C\u002Fa>) Security-Härtung und einen aktualisierten Kernel. Für alle, die Pi-basierte Edge-Setups betreiben — also viele unserer DevOps-Use-Cases im IoT- und Maker-Umfeld — lohnt sich das Update.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Quelle:\u003C\u002Fstrong> \u003Ca href=\"https:\u002F\u002Fnodejs.org\u002Fen\u002Fblog\" target=\"_blank\" rel=\"noopener noreferrer\">Node.js Blog\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fwww.heise.de\u002Fnews\u002FRaspberry-Pi-OS-6-2-Update-verspricht-mehr-Sicherheit\" target=\"_blank\" rel=\"noopener noreferrer\">Heise zu Raspberry Pi OS 6.2\u003C\u002Fa>\u003C\u002Fp>\n\n\u003Ch2>Docker MCP Toolkit analysiert Hugging-Face-Spaces auf Arm64\u003C\u002Fh2>\n\u003Cp>Ajeet Singh Raina hat im \u003Ca href=\"https:\u002F\u002Fwww.docker.com\u002Fblog\u002Fhow-to-analyze-hugging-face-for-arm64-readiness\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Docker Blog\u003C\u002Fa> gezeigt, wie sich mit dem \u003Cstrong>Docker MCP Toolkit\u003C\u002Fstrong> in Kombination mit dem \u003Cstrong>Arm MCP Server\u003C\u002Fstrong> in wenigen Minuten prüfen lässt, ob ein Hugging-Face-Space auf Arm64-Hardware läuft. Der Workflow: MCP-Client starten, Arm-MCP-Server-Tool einbinden, auf das Hugging-Face-Repository zeigen, und der Agent scannt Dockerfile, Build-Argumente und genutzte Binärabhängigkeiten auf Arm64-Kompatibilität.\u003C\u002Fp>\n\u003Cp>Für Teams, die auf Ampere- oder Graviton-Instanzen wechseln — Stichwort: deutlich günstigere Inference-Kosten für viele Workloads —, ist das kein Spielzeug, sondern ein echter Zeit-Hebel. Ein Arbeitstag Analyse zu einem MCP-Workflow zu verdichten, zeigt, wofür agentische Tool-Ketten tatsächlich taugen.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Quelle:\u003C\u002Fstrong> \u003Ca href=\"https:\u002F\u002Fwww.docker.com\u002Fblog\u002Fhow-to-analyze-hugging-face-for-arm64-readiness\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Docker Blog\u003C\u002Fa> · \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Farm\u002Farm-mcp-server\" target=\"_blank\" rel=\"noopener noreferrer\">Arm MCP Server\u003C\u002Fa>\u003C\u002Fp>\n\n\u003Ch2>GitHub nutzt eBPF für sicherere Deployments\u003C\u002Fh2>\n\u003Cp>\u003Ca href=\"https:\u002F\u002Fgithub.blog\u002Fengineering\u002Finfrastructure\u002Fhow-github-uses-ebpf-to-improve-deployment-safety\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Lawrence Gripper und Aleksey Levenstein haben im GitHub Engineering Blog\u003C\u002Fa> gezeigt, wie das Deployment-Tooling bei GitHub mittels eBPF zirkuläre Abhängigkeiten in internen Diensten erkennt und gezielt verhindert. Der Ansatz: Statt statischer Graph-Analyse läuft die Dependency-Messung live auf Syscall-Ebene im Kernel — damit sieht man, welche Services in der Realität miteinander sprechen, nicht nur welche sprechen sollten.\u003C\u002Fp>\n\u003Cp>Der Pragmatismus dahinter ist sympathisch. Zirkuläre Deployment-Abhängigkeiten sind das Boogeyman jedes Platform-Engineering-Teams — und mit eBPF als Low-Overhead-Sensor lässt sich das Problem ohne Code-Änderungen in den überwachten Services erkennen. Für alle, die gerade an Deployment-Reihenfolge und Staging-Promotion-Regeln arbeiten, ist der Post Pflichtlektüre.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Quelle:\u003C\u002Fstrong> \u003Ca href=\"https:\u002F\u002Fgithub.blog\u002Fengineering\u002Finfrastructure\u002Fhow-github-uses-ebpf-to-improve-deployment-safety\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub Engineering Blog\u003C\u002Fa>\u003C\u002Fp>\n\n\u003Ch2>Kurz notiert\u003C\u002Fh2>\n\u003Cul>\n\u003Cli>\u003Cstrong>PostgreSQL auf NVMe + S3\u003C\u002Fstrong> — The New Stack beschreibt, warum der Hot Path auf NVMe liegt und kältere Daten in S3 wandern. \u003Ca href=\"https:\u002F\u002Fthenewstack.io\u002Fwhy-postgres-wants-nvme-on-the-hot-path-and-s3-everywhere-else\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Direkt relevant\u003C\u002Fa> für alle, die größere Postgres-Installationen betreiben.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Eclipse Foundation Security-Programm für Open VSX\u003C\u002Fstrong> — Nach dem VSCode-Ökosystem-Wildwuchs startet Eclipse ein koordiniertes Security-Programm ohne Bounty, aber mit Disclosure-Pfad. \u003Ca href=\"https:\u002F\u002Fwww.heise.de\u002Fnews\u002FEclipse-Foundation-startet-Sicherheitsprogramm-fuer-Open-VSX\" target=\"_blank\" rel=\"noopener noreferrer\">Heise\u003C\u002Fa> hat die Details.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>React Native 0.85\u003C\u002Fstrong> bringt ein neues Animations-Backend mit messbarer Performance-Verbesserung bei Gestenerkennung. \u003Ca href=\"https:\u002F\u002Fwww.heise.de\u002Fdeveloper\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">Heise Developer\u003C\u002Fa> zur Einordnung.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>CNCF migriert die eigene Infrastruktur von ingress-nginx auf Envoy Gateway\u003C\u002Fstrong> — im Zuge der ingress-nginx-Retirement-Entscheidung. Der \u003Ca href=\"https:\u002F\u002Fwww.cncf.io\u002Fblog\u002F\" target=\"_blank\" rel=\"noopener noreferrer\">CNCF-Blog-Post\u003C\u002Fa> ist ein praktischer Leitfaden für alle, die dieselbe Migration noch vor sich haben.\u003C\u002Fli>\n\u003C\u002Ful>\n\n\u003Ch2>Fazit\u003C\u002Fh2>\n\u003Cp>Drei Signale ziehen sich durch die Woche: Frontend wird pragmatischer (MDN), Cloud wird europäischer (Hetzner, Euro-Office), und Supply-Chain wird endgültig ein Plattform-Thema (Vercel, OAuth-Ketten). Dazwischen laufen die Dinge, die solide Infrastruktur ausmachen — Node-LTS, Raspberry-Pi-Updates, eBPF im Deployment-Pfad. Keine Revolution, aber viele kleine Entscheidungen, die zusammengezählt das Fundament für das restliche Jahr 2026 legen.\u003C\u002Fp>\n\n\u003Cp>Wenn du an einer europäischen, souveränen Infrastruktur für deine Plattform arbeitest — \u003Ca href=\"\u002Fde-at\u002Fcontact\">wir unterstützen gerne\u003C\u002Fa>. Mehr zu unserem Open-Source-Ansatz findest du auf der \u003Ca href=\"\u002Fde-at\u002Fopen-source\">Open-Source-Seite\u003C\u002Fa>.\u003C\u002Fp>\n\n\u003Cp>\u003Cem>Kuratiert von SEADEV Studios — jede Woche die wichtigsten Tech-News, eingeordnet für Entwickler und Entscheider.\u003C\u002Fem>\u003C\u002Fp>\n"]