Aujourd'hui, je ne suis pas content, mais vraiment pas content du tout. Je vais donc commencer ce journal avec une bordée d'injures histoire de ne pas en parsemer partout dans ce journal : Fermez les yeux, retirez vos doigts de vos tablettes brailles et bouchez vous les oreilles : @#$%&*^#@@#$$%^. Raaah, ça fait du bien.

Bon, je développe sur mon temps libre et souvent professionnel du logiciel libre et ceci depuis 2000/2001. Je prends plaisir à faire cela, mais là, je me pose sérieusement la question si cela vaut le coup de continuer, voici la petite histoire.

Depuis 2001, je développe un petit CMS, tout simple, pas prétentieux pour 2 sous. Il y a une petite communauté active et sympa qui s'occupe de lui, je n'ai plus besoin de faire les releases car maintenant certains contributeurs les font. L'ambiance est sympa.

Et puis, l'année dernière, une personne me fait savoir qu'il existe une alerte de sécurité Secunia/CERT/ou je ne sais plus qui pour le CMS. Je tombe de haut. Comment ? Mon petit projet ridicule se trouve avec une alerte de sécurité comme ça ? (il y aurait donc des utilisateurs). Je trouve le problème, je le fixe, nouvelle release. Je cherche dans les forums, mailing listes, wiki, aucune information préalable. Une personne a donc trouvé une faille de sécurité et informé CERT/truc/bidule et même pas un email aux développeurs du logiciel. Grrr, moi pas content, moi probablement un vieux con qui pense encore respect, netiquette et tout ça. Bon, je laisse couler, je retourne traire mes vaches.

Ce matin, un email dans la liste des utilisateurs, "faille de sécurité dans le CMS version x.x". Et merde, je me jette dessus et dedans pas la moindre info pour aider le développeur, juste un "c'est la fin pour moi, j'arrête d'utiliser ce CMS". Oups. Je contacte la personne en privé, je réponds à l'email, je fais une analyse importante du code encore une fois, je vérifie mes logs sur plusieurs installations ayant cette version qui tourne, j'informe la liste de sécurité qu'éventuellement il y a un problème de sécurité donc j'invite à faire un backup des données.

Je rentre en contact avec la personne ayant le problème. Bon, c'est l'hébergeur qui a trouvé le problème, il me donne son compte client, numéro du ticket support, son nom complet. Je vais sur le site de l'hébergeur, je trouve pas possibilité de contacter en urgence. Nom de domaine .fr, un tour sur l'Afnic, arg, le numéro de téléphone dans le whois me lance un "numéro non attribué". Grrrr, je téléphone d'Allemagne... Je trouve que ces bonshommes ont une AS, direction RIPE, je trouve un numéro, rebelotte, fonctionne pas, le deuxième fonctionne yeah !

Grosso modo l'échange, j'étais très poli (quand on demande de l'aide on est toujours très très poli) :

- Bonjour, mon petit nom, je suis développeur d'un logiciel libre trucmuch CMS, je vous contacte, je ne suis pas client, mais j'ai un utilisateur pour qui vous avez découvert un problème de sécurité. Le numéro de ticket est le 12345, son nom est Foo Bar et son numéro de compte 6789.
- Oui, c'est moi qui est traité ce ticket. [...]
- Très bien, vous comprenez la situation, je cherche une information qui me permettrait de corriger le problème de sécurité, j'ai quelques milliers d'utilisateurs dont la sécurité est en jeu, peut-être même chez vous.
- Oui, je vois, mais non, je ne peux pas vous fournir d'information supplémentaire, vous n'êtes pas client. [bla bla]
- Ok, je ne demande rien de confidentiel, juste comme vous annoncez à votre client que c'est le logiciel que je développe qui a un problème, je demande juste le point d'entrée, une ligne de logs anonyme juste pour me permettre de fixer le problème.
- [réponse ferme et claire, c'est non,] mais on peut donner l'information au client s'il formule sa question correctement.
- Bon, cela veut quand même dire que vous savez, très bien, je recontacte la personne et lui demande de vous poser la question.
- Attention, le client ne peut pas poser la question par téléphone car son offre [bla bla bla]
- Ok, ok, il a un ticket, donc de toute façon vous aurez la question par email. Au passage, vos informations Afnic ne sont pas à jour, j'ai trouvé votre numéro de téléphone via la base RIPE.
- Ok, merci bonne journée.
- Bonne journée.

Durée de la discussion très polie, 4 minutes 17 secondes.

Je recontacte l'utilisateur et donne les infos que j'ai, cela fait 3h, j'ai toujours pas d'info.

Bon, alors, je suis développeur d'un logiciel libre, pour un utilisateur qui a un problème de sécurité grave (on lui a demandé de supprimer l'intégralité du contenu de son hébergement !) je décroche mon téléphone depuis l'Allemagne pour contacter l'hébergeur. Je dispose de toutes les informations du client et je demande une information anonyme pour fixer le problème de sécurité et je me fais envoyer dans les roses (côté épines).

Conclusion, vous codez une application qui permet à ces gens de faire de l'argent (ils n'auraient pas autant de clients si il n'y avait pas de scripts PHP/MySQ/truc much pour faire le site de madame michu), vous prenez sur votre temps et votre argent pour faire cela bien et la réponse est "merci d'aller voir ailleurs".

Je code pas du logiciel libre pour être célèbre et gagner de l'argent, non, je fais cela uniquement pour répondre aux problèmes que j'ai et je donne au passage ce travail aux autres. Au total, en 7 ans de développement libre, j'ai facturé 200Euros pour un hack pour aider quelqu'un. Je ne cherche pas à monétiser le truc, ce n'est pas mon objectif. Je fais cela par plaisir, mais là, le plaisir (et ce n'est pas la faute du pauvre utilisateur dans ce cas précis) il vient de se faire la malle.

Finalement, grosse fatigue, je vais attendre avant de libérer plus de code. Je vais me concentrer sur mon business, ma famille et puis le logiciel libre attendra. Facturer 100€ de l'heure, c'est peut-être mieux que de se faire envoyer balader par des gens qui font de l'argent sur votre dos...

Et vous, créateurs de logiciel libre, vous avez aussi des coups de fatigue comme ça ? Vous avez des trucs pour recharger les batteries après des coups comme ça ?

*: C'est plutôt la motivation qui n'est plus là.

> Lire le journal (57 commentaires, moyenne: 4).

Bonsoir,

comme c'est l'été, qu'on est vendredi soir, que l'activité du libre est plutôt tranquille et comme certains l'ont demandé[1], je me permets de vous tenir au courant des avancées du projet de clone de GoogleCode avec git pour la gestion du code.

La version 0.0.7 est disponible : http://projects.ceondo.com/p/indefero/downloads/

Une version très compacte des changements par rapport à la version disponible quand j'ai écrit le précédent journal[2] :

* Ajout de l'intégration avec git-daemon.
* Envoi du type mime quand on télécharge un fichier du dépôt (merci un commentaire de Raphaël Gertz dans le journal précédent).
* Un simple compteur des téléchargements.
* Affichage des téléchargements sélectionnés sur la page d'accueil.
* Filtre des téléchargements par étiquette.
* Contrôle d'accès aux modules tickets, source et downloads.
* Notifications par email.

J'écris beaucoup sur le sujet sur mon site[3], donc si cela vous intéresse, cela vous donnera rapidement un bon aperçu des fonctionnalités et de la direction prise par le projet.

Je suis toujours à l'écoute des suggestions et remarques, surtout en ce qui concerne la qualité de l'interface et sa simplicité.

loïc

[1] : https://linuxfr.org/~erlen/27002.html#954858
[2] : https://linuxfr.org/~erlen/27002.html
[3] : http://xhtml.net/scripts/InDefero-bug-tracking-git/

> Lire le journal (11 commentaires, moyenne: 1,5).

Bonjour,

Je me permets de vous annoncer la sortie de InDefero[1], grosso modo un clone de GoogleCode[2] mais écrit en PHP et utilisant git[3] pour le dépôt de code.

http://projects.ceondo.com/p/indefero/

Les fonctionnalités sont les suivantes :

* Support de multiples projets.
* Bug tracker avec multiples droits (anonymes, enregistrés, membres et propriétaires).
* Bugs peuvent avoir de multiples étiquettes.
* Bugs peuvent être commentés avec création automatique de liens inter-bugs.
* Filtrage des bugs par statut (ouvert/fermé), par étiquette.
* Liste personnelle des bugs à traiter ainsi que des bugs soumis.
* Pourcentage de bugs fermés par label (permet d’utiliser un label comme milestone pour avoir une idée du travail restant à faire).
* Visualisation du code source d’un dépôt Git.
* Navigation dans le dépôt Git à un commit donné.
* Derniers changements dans le dépôt par branche.
* Différence d’un commit.
* Téléchargement d’un fichier à n’importe quel commit.
* Interface d’administration pour la gestion du bug tracker, des membres et de la description du projet.
* Téléchargement d'une archive zip du code à un commit donné.
* Et encore beaucoup à faire…

Je parle du développement de cette application sur mon site[4] et le tout est sous licence GPL, cadeau de ma boite[5]

Cela a été développé en utilisant le framework Pluf[6], donc cela a permis d'aller assez vite (environ 90h de travail effectif au total pour le moment).

Vos remarques sont les bienvenues, ici, par email (titoo chez users.sourceforge.net) ou directement dans le tracker de l'application.

loïc

[1] http://projects.ceondo.com/p/indefero/
[2] http://code.google.com/
[3] http://git.or.cz/
[4] http://xhtml.net/
[5] http://www.ceondo.com/
[6] http://pluf.org

> Lire le journal (12 commentaires, moyenne: 2,2).

Un petit journal pour annoncer que je viens de refaire le site de Pluf[1]. Pluf est un framework PHP5 fortement inspiré de Django[2]. Je l'utilise en production depuis 2 ans environ. Pour les utilisateurs de Django, vous retrouverez un moteur de gabarits avec l'"extend", un ORM avec support de PostgreSQL, MySQL et SQLite, les middleware, etc...

Je l'ai codé à l'époque ou pour moi j'utilisais Django mais où pour un produit de gestion de conférences je devais utiliser PHP.

La documentation est légère mais il y a des tests unitaires et le code est très documenté. Je travaille sur la doc régulièrement en ce moment.

loïc (alias Erlen ici)

[1]: http://www.pluf.org
[2]: http://www.djangoproject.com

> Lire le journal (0 commentaire).

Bonjour,

Je sais, c'est un sujet mainte fois discuté, malheureusement je ne trouve pas vraiment une réponse satisfaisante en épluchant les résultats de Google et les forums de discussion.

Voici ce que je cherche :

- Un serveur dédié d'une puissance raisonnable avec 2Go de ram et autour de 200Go de disque.
- Une bonne bande passante sur l'Europe, même si cela coûte cher.

Dès que je cherche, je tombe sur les super offres à 100 Euros/mois tout en illimité mais en pratique avec une bande passante bof/bof sur l'Europe.

Connaissez vous quelqu'un qui offre on va dire quelque chose proche de ça : https://www.ovh.com/fr/produits/egplus.xml (2Go RAM/250Go HD) mais avec 100Go de bande passante puis on va dire 0,2/0,5 euro/Go en extra ? Avec de la bonne bande passante ?

OVH demande 900 Euros/HT en plus des 100 Euros du serveur pour garantir ce qu'officiellement ils offrent dans l'offre à 100 Euros. Cela ne donne pas trop confiance...

Vos conseils sont les bienvenus, si je n'arrive pas à trouver je ferai du panaché avec une série de serveurs dans différents endroits en Europe pour pouvoir bouger mes clients sur l'un ou l'autre en fonction de leur localisation.

> Lire le journal (28 commentaires, moyenne: 2,7).

Bonjour,

La petite entreprise dont je fais partie cherche un développeur pour le web/net. C'est pour un poste sur Copenhague, donc Anglais obligatoire. Les conditions de travail sont vraiment bonnes, avec un bon salaire, une excellente couverture sociale, repas offerts, etc...

La boite fait de la simulation moléculaire, on cherche quelqu'un qui puisse venir faire de l'interface entre nos applis de calcul scientifique (cluster/grid) et le web. Mais aussi qui puisse pondre une application RoR, django, etc. pour des projets en interne. L'environnement de travail est très motivant, on peut facilement faire entendre sa voix et on bosse avec des gens vraiment bons. Une boite sympa en fait.

L'offre: http://atomistix.com/index.php?id=62#netdev

Voili, voilou,
E.

> Lire le journal (20 commentaires, moyenne: 3,1).

Un manchot qui attrape un bouton :)

Bon trêve de plaisanterie. Je veux monter une boite silencieuse, à fable consommation pour faire exactement ce que fait le Digital Filing Cabinet de Norhtec[1], c'est à dire un serveur de fichier sur lequel je pourrais aussi avoir un subversion et d'autres outils.

Maintenant je veux pouvoir facilement l'allumer et l'éteindre en arrivant au boulot et en repartant (économie d'énergie). Donc je souhaite avoir un processus qui me permette d'attraper le signal quand je l'éteinds pour lancer un `shutdown -h now` et faire l'arrêt proprement. J'ai un petit boitier NSLU2[2] qui fait cela très bien. Un bouton on/off, quand on appuie dessus pour éteindre cela lance la procédure d'arrêt.

Est-ce matériellement possible avec un système mini-itx de base ou faut-il que je bidouille un truc sur un port usb/série avec un démon qui écoute? S'il faut bidouiller, je vais peut-être soumettre l'idée à cette société norhtec, ils ont l'air d'avoir les compétences pour faire quelque chose de propre au final.

Merci pour vos remarques/idées...

[1] http://www.norhtec.com/products/ss/index.html(...)
[2] http://nslu2-linux.org/(...)

> Lire le journal (12 commentaires, moyenne: 2).