Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par (page perso) . Édité par Benoît Sibaud et Bruno Michel. Modéré par Christophe Guilloux. Licence CC by-sa
37
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

Rocket, ou pourquoi l'équipe de CoreOS lance une alternative à Docker

Posté par . Édité par Nÿco, Benoît Sibaud, Nils Ratusznik et palm123. Modéré par patrick_g. Licence CC by-sa
28
2
déc.
2014
Virtualisation

C'est l'information qui a fait parler en ce premier décembre 2014, elle nous vient de l'équipe créatrice de CoreOS. On ne va pas vous faire l'affront de vous expliquer encore ce qu'est et n'est pas Docker, le premier lien de la liste s'en chargera très bien.

Rocket

CoreOS crée Rocket, une alternative à Docker, mais pourquoi ?

Docker

Forum général.général conseils pour contribuer à un projet opensource en Python

Posté par (page perso) . Licence CC by-sa
Tags :
3
22
avr.
2014

J'utilise github depuis plus d'un an pour des projets personnels auxquels je suis quasiment seul à contribuer. J'ai donc une connaissance très limitée des commandes de git et du travail à plusieurs.
Pour la première fois j'ai l'envie de participer à un autre projet et j'aimerais connaître quelques détails sur la procédure à suivre.

Voici le contexte : j'aimerais utiliser pour l'un de mes projets la librairie pyTree/treelib et souhaiterais apporter des modifications "cosmétiques" sur pyTree afin d'homogénéiser le code (...)

Journal Rechercher dans son dépôt Git avec du SQL ? C'est possible !

Posté par . Licence CC by-sa
Tags :
26
16
avr.
2014

Bonjour cher Nal,
Je viens de découvrir un projet permettant de faire des recherches dans un dépôt Git, non pas avec la commande git log (fort puissante et pratique, je l'admets mais qui nécessite de potasser le man), mais avec des requêtes SQL !
Ce projet, nommé gitql, est disponible… via Git, tu t'en serais douté, et sur Github en particulier.
Cela semble bien pratique (pour ceux qui connaissent plus le SQL que les commandes git), bien que (...)

Journal python-easy-pki

Posté par . Licence CC by-sa
19
9
fév.
2014

Bonjour,

Je viens de créer un script python qui permet de générer une PKI (Infrastructure_à_clés_publiques) en utilisant gnutls/certtool.

Je cherchais un outil équivalent à easy-rsa, mais utilisant [gnutls]. Oui je sais c'est sans doute idiot mais je considère certtool plus simple a utiliser et apparemment plus avancé que openssl, c'est surtout le système des templates qui me plaît.

J'ai donc relevé mes manches courtes, et me suis lancé à la recherche d'une API python pour gnutls/certool. (...)

Journal Outils de pseudo gestion de projet et développement

38
7
fév.
2014

Salut Nal,
Mon premier billet ici, après quelques années passées à lire ceux des autres, est pour vous parler des derniers outils que j'ai eu l'occasion de tester.

Je cherchais les outils nécessaires pour développer collaborativement un programme open source, ou fermé dans le cadre d'une petite entreprise. Plus généralement je cherche un workflow efficace qui s'adapte aux diverses situations que je rencontre.

Besoins

Les fonctionnalités recherchées sont :

  • Le versionnage du code source, bien évidemment, mais aussi un moyen (...)

Journal GitPrep, un clone libre de GitHub

Posté par (page perso) . Licence CC by-sa
Tags :
16
28
août
2013

Écrit en Perl (avec mojolicious et Twitter Bootstrap) GitPrep peut tourner sur son propre serveur, sur un serveur supportant PSGI/Plack et/ou en mode CGI.
Il est distribué sous double licence GPL (>= 1) et Artistic.
Pour le tester, ne confond pas l'install publique et le dépot github ;)

Journal Pourquoi GitHub saimal, quelques alternatives

Posté par . Licence CC by-sa
24
8
déc.
2012

Sommaire

Cher journal,

Je sais que trolldi était hier, mais je n'ai pas eu le temps d'écrire ceci et je n'ai pas envie d'attendre une semaine.

Github

Je pense que tu connais GitHub pour partager ton code. Si ce n'est pas le cas, il s'agit juste d'une plateforme externe sur laquelle on peut démarrer un projet et (...)

Journal Minitel 2.0 et auto-hébergement, quelles différences ?

1
30
oct.
2012

Il semble que le minitel 2.0 n'est pas compris^W^Wque difficilement accepté par certains, du fait de ses limitations intrinsèques dont voici une liste non exhaustive :

  • centralisation à outrance
  • sans capacité de décentralisation (hormis volonté du prestataire, ce que fait google par exemple, mais filtré pour autant par free même dans ce cas il paraît, youtube inside )
  • capacité à fournir des pubs pour rentabiliser les coûts (cela semble légitime pour certains, pas pour d'autres, l'analyse des contenus étant (...)

Journal En France on n'a pas de pétrole

36
10
août
2012

(mais on n'a pas trop d'idées non plus)

Mon jour nal,

Si je me permets d'attirer ton attention aujourd'hui, c'est parce que je me poses des questions.

Voilà donc un journal qui dénonce (grave).

Je viens de découvrir, pas plus tard qu'il n'y a pas longtemps, que toutes les lois et régulations fédérales allemandes sont sur github.

https://github.com/bundestag/gesetze#german-federal-laws-and-regulations

Quand on sait qu'écrire une loi, c'est presque comme écrire du code[1], on comprend toute la pertinence du projet.

Un code de (...)

Journal Liquid prompt — un prompt Bash adaptatif utile : déménagement

Posté par (page perso) .
23
19
juil.
2012

Pour ceux qui auraient suivi la dépêche « Un prompt bash utile, sans poudre aux yeux » ou ceux qui seraient intéressés par un prompt Bash qui déchire, sachez que — suite au franc succès rencontré — le projet a maintenant son propre dépôt : Liquid prompt.

Mettez à jour vos signets et outils de suivis !

Migration de PHP vers Git, Gitlab, Baregit

Posté par (page perso) . Édité par Benoît Sibaud, NeoX et Nils Ratusznik. Modéré par Xavier Claude. Licence CC by-sa
34
20
mar.
2012
Gestion de versions

Ainsi qu'il a été annoncé dans la dépêche de sortie de la version 5.4 PHP rejoint le nombre toujours grandissant de projets utilisant Git.

En effet, la nouvelle est tombée, la migration depuis SubVersion/SVN est désormais complète.

Comme beaucoup de projets désormais, le dépôt mis en avant est sur le non-libre github, bien que le dépôt de référence reste sur http://git.php.net

You can clone or fork the source from our GitHub mirror, and we also now support pull requests made via GitHub. The source is also available via git.php.net

Tout comme l'utilisation de github par Linus pour le noyau, il est intéressant de se demander pourquoi cet usage assez massif de services non libres de la part d'équipes de développement pourtant au fait des licences et de leurs conséquences. Une raison serait évidemment plutôt pragmatique (il suffit de cliquer sur les deux liens de dépôt pour comprendre rapidement) et montre que github a su comprendre et pleinement maîtriser les concepts liés au développement utilisant un outil de source décentralisé offrant de nombreuses fonctionnalités, notamment wiki, gestion des demandes, pull request.

Toutefois, des projets tels que Gitorious ou le très prometteur Gitlab existent.

À noter également le lancement de Baregit pour ceux qui souhaitent un hébergement Git de qualité, rapide et surtout sur territoire français et donc non soumis aux lois américaines sur les logiciels.

Pour en revenir à PHP, l'accès au dépôt Git est décrit et une FAQ est également disponible. Notez que contrairement à l'annonce, la FAQ mentionne git.php.net comme dépôt principal. Pour les nouveaux arrivant sur les Distributed Concurrent Versions System (DCVS, Gestion de version décentralisée) notez qu'une page présentant le workflow utilisé est disponible.

Il ne reste plus qu'à espérer que PHP va continuer d'améliorer sa situation notamment concernant les tests unitaires et le processus de release et que Git sera un atout pour cette lourde tâche.

Journal Le pragmatisme à la Torvalds, ou, Linux sur Github

Posté par (page perso) .
21
5
sept.
2011

Salut les trolls

oups :-)

Bon, je sais qu'on est pas vendredi, mais la news ne pouvait tout de même pas passer inaperçu à l'élite Free Software donc voici :
Linus Torvalds utilisé désormais github pour partager ses sources de Linux !

Il y aurait très vite matière à troller, mais bon faut dire que l'effet n'est que temporaire et est causé par le petit problème des serveurs de kernel.org.

Par contre, il est intéressant (finalement un peu comme l'histoire (...)