en attendant d'être propulsé aussi par un Pijulhub
Il y a quand même Nest qui fournit (pour le moment) dépôt de code, discussions et "réseau social" (on peut mettre des étoiles !!!). Par contre, pour le moment, c'est pas libre.
Je suis convaincu qu'un vaccin conventionnel n'y aurait rien changé.
Le Parti Pirate a publié début 2021 une petite synthèse sur la vaccination que j'avais trouvé pas mal. Il y avait notamment un rappel historique de la vaccination.
Je cite :
Comme le rappelle l’historien Laurent-Henri Vignaud dans ses entretiens et dans ses livres, « dès qu’il y a eu vaccin, il y a eu anti-vaccin ».
Tout ça pour dire que je pense que tu as raison : cela n'aurait rien changé.
on peut créer une grosse entreprise et l'utiliser pour collecter les paiements pour de nombreux développeurs.
Ou quelque chose sur le modèle de la FreeBSD Foundation qui (si je dis pas de bêtise) utilise les donations pour aussi financer des développements (ce que ne font pas toutes les fondations pour le coup)
c'est une dépendance java, donc liée statiquement et pas dynamiquement dans les logiciels
Comme déjà précisé par kaos, je pense que tu voulais plutôt dire que les applications ne s'appuient pas sur la version fournie par le système mais que chaque application embarque sa propre version de log4j (bundling).
C'est pas lié au fait que ça soit du Java. Juste que le bundling est une pratique courante dans cet écosystème (notamment sur les applications web qui embarquent leurs dépendances dans le WAR).
Mais, même en Java, tu pourrais t'appuyer sur les dépendances systèmes fournies par ta distribution (qui ont des politiques qui poussent à "debundler" les appli Java). Il faut "juste" que ton classpath soit correctement configuré (mais ce n'est pas toujours simple, surtout si tu pars sur un serveur d'application pas toujours packagé dans ta distribution, par exemple Tomcat…) pour que ton appli utilise le log4j système et que tu passes ta dépendance en "provided" côté applicatif.
C'est donc vraiment une politique globale à avoir mais le niveau de coordination entre les équipes systèmes et applicatives serait, je pense, assez compliqué à mettre en œuvre dans un (très) grand nombre d'entreprises (mon expérience n'est pas forcément représentative mais, côté applicatif, je n'ai jamais été encouragé 1 à m'appuyer sur les lib Java déjà empaquetées par l'OS).
Cependant, j'ai quand même l'impression qu'il y aurait exactement le même problème avec une 0-day dans une lib Python/Ruby/Node/Go/Rust/etc "que tout le monde utilise".
Le délai de correction sera donc assez long : il faut que la bibliothèque soit mise à jour puis que chaque logiciel qui l'utilise soit mis à jour (sachant qu'une partie de ces logiciels ne sont de toute façon plus maintenus !)
Pour se protéger en attendant que ça soit correctement patché quelqu'un de plus compétent que moi m'a proposé d'ajouter le drapeau suivant sur les lignes de commande : -Dlog4j2.formatMsgNoLookups=true (je n'ai pas testé si ça avait un impact réel ou non).
Merci PsychoFox de m'avoir aussi fait découvrir rqlite !
Ce qui est drôle c'est que j'ai par hasard découvert dqlite aujourd'hui. La FAQ indique les différences suivantes avec rqlite :
The main differences from rqlite are:
- Embeddable in any language that can interoperate with C
- Full support for transactions
- No need for statements to be deterministic (e.g. you can use time() )
- Frame-based replication instead of statement-based replication
Pour moi, cette semaine aura été celle des SQLite distribués !
Si je pousse le raisonnement basé sur ta remarque (je ne t'associe pas à ce raisonnement, c'est juste moi qui déroule) :
si une charte "claire et précise" était possible, il n'y aurait aucun problème à automatiser la modération (un logiciel sait bien faire que la spec est "claire et précise"),
vu que cette modération ne poserait pas de problème (car "claire" et appliquée "à la lettre"), on pourrait même l'appliquer à priori.
Cela ressemble beaucoup à ce que font "les plateformes" et ce que prône différents gouvernements. Ce que beaucoup appellent de la censure.
Autant, la charte pourrait être claire ("on ne s'insulte pas ici"), autant elle ne pourra jamais être précise. Vu que chaque intervention à modérer se fait dans un contexte, je ne vois pas comment on pourra se passer des modérateurs humains qui adaptent leur décision (c'est donc pas "appliqué à la lettre"). Ou alors, il faut que cette charte :
interdise l'ironie, l'humour et la caricature (parce que sinon, y aura toujours quelqu'un pour taper les limites et frôler l'insulte)
A la base, Linus ne voulait pas qu'on puisse se faire de l'argent sur son code (il admet que c'était une erreur de sa part, et cela n'a pas duré). Il voulait que les gens puisse prendre le code pour faire ce qu'ils voulaient mais (surtout) qu'ils doivent retourner les changements effectués. Et c'est pour cela qu'il a utilisé la GPL v2, car il a estimé que ça "faisait le job".
The GPL ensures that nobody is ever going to take advantage of your code. It will remain free and nobody can take that away from you. I think that's a big deal for community management.
C'est aussi pour ça qu'il n'aime pas trop les licences permissives de type BSD (où tu n'es pas obligé de partager les changements) :
"Over the years, I've become convinced that the BSD license is great for code you don't care about"
Par contre cela auraient énormément bridé l'innovation et gêné l'émergence de bon nombre de start-up
Est-ce que des Google ou AWS auraient pu décoller s'il n'y avait eu que des OS propriétaires qui "protègent l'innovation" (la vraie ⸮) ?
Sinon, dans un monde sans Linux, est-ce que l'informatique en nuage se serait appelée informatique en armoire ? Remarquez, ça serait pratique car une armoire se met facilement on the edge.
Dans un monde sans Linux, on serait plus scalabilité verticale qu'horizontale je pense. Donc, est-ce que certaines boites (probablement américaines, certainement innovantes) disrupteraient le marché en installant carrément des conteneurs chez leurs clients ?
Je vais enfoncer une porte ouverte, mais je veux être sûr : mon commentaire sur le not Open Contributionn'est pas un soutien à ton commentaire initial :-)
Tu laisses entendre que la croyance religieuse est un critère de sélection pour contribuer à SQLite. C'est bien évidemment faux.
En faisant le sous-entendu que les contributeurs SQLite ne tolèrent pas les athées, tu diffuses une fausse info sur cette équipe. On peut le tourner dans tous les sens, mais cette petite remarque ne peut que nuire à ce projet (au mieux, rien n'a changé, au pire, des gens pensent que SQLite est développée par des intolérants).
Donc, comme ton affirmation en contient beaucoup d'ingrédients, je suppose que c'est pour ça que Philippe t'a dit que c'était du FUD.
Pour être un peu taquin, de toutes façons, vous ne pouvez pas être développeur SQLite… Tout court :-)
Plus sérieusement, le projet s'affirme Open-Source, not Open-Contribution et cela n'a rien à voir avec leur Code of Ethics :
In order to keep SQLite completely free and unencumbered by copyright, the project does not accept patches. If you would like to suggest a change and you include a patch as a proof-of-concept, that would be great. However, please do not be offended if we rewrite your patch from scratch.
Dommage de ne jamais (l'article lié n'est pas plus disert) donner un seul exemple de ces "fonctionnalités les plus avancées" que LSP ne permettrait pas, surtout si on perd "énormément"..?
Jetbrains, par exemple, a toujours boudé LSP pour ses produits (même s'il existe desplugins)
Re-using the Language Server Protocol (LSP), an idea we discarded. LSP is great and does many things, but it's also a lowest common denominator. Some refactorings in ReSharper are impossible to implement in LSP without bolting on many customizations. It's also unclear how LSP should handle languages like Razor, which typically mix C#/VB.NET and HTML, CSS, and JavaScript. There would have to be an LSP component for the separate languages, but also one for the combined languages. LSP would introduce many complexities and provide little benefit for our particular use case.
Comme la situation des IDE Jetbrains n'a pas changée, je suppose que les équipes de Jetbrains estiment que ces "problèmes" subsistent, indépendamment des évolutions favorables des Language/Debug Server Protocols.
Tu trouveras peut-être aussi cet article de fin 2020 intéressant. Quoiqu'on pense du LSP, je rejoins complètement une de ses remarques :
LSP did achieve a significant breakthrough — it made people care about implementing IDE backends
Tu as tout à fait raison sur le fait que cela ne correspond pas à l'attente que les gens ont.
Après, une autre chose qui me paraît sûre, c'est que le Disaster Recovery Plan étant pudiquement traduit "Plan de Reprise d'Activité (après incident)", cela n'aidait probablement pas à imaginer le pire. Un désastre, ce n'est pas perdre quelques disques ou une paire de VM.
Maintenant, on sait qu'un désastre, c'est perdre plusieurs centres de données (certes, géographiquement au même endroit) avec une partie des sauvegardes et n'avoir qu'un accès erratique à ta console d'administration. Tout ça en quelques instants et pour de nombreuses heures.
Ah ah, ça m'a fait penser : peut-on remercier 1000 fois 1 personne ou 1 fois 1000 personnes ?! :)
Blague à part,
Je suis 100 % d’accord avec le message de catweazel
Moi, le seul truc qui m'irrite c'est l'éternelle comparaison avec le(s) comportement(s) de Windows (ça marche aussi avec OSX).
Avec ce genre de raisonnement, le menu de Plasma est pourri car il me rappelle le menu "Démarrer" de Windows, Kontact c'est nul car ça me rappelle Outlook, je ne parle pas de Darktable tellement ça me fait penser à Lightroom, oh et puis VLC qui envoit des métadonnées c'est "so-Windows", etc etc
Comme "ça ressemble à Windows", il n'est même plus possible de discuter d'éléments techniques et/ou ergonomiques et/ou historiques.
Je comprends que ce comportement de mise à jour puisse irriter certains utilisateurs (cf ici même suite au changement chez Linux Mint). C'est même tout à fait légitime. Mais l'argument "ça ressemble à Windows", c'est vraiment pas au niveau. Cela affaibli même les autres (bons) arguments.
Discuter du meilleur moyen de laisser le choix, des workflows de chacun, des raisons qui ont poussé les développeurs à mettre ça en place (et, si possible, sans préjuger qu'ils cherchent à "nous", les utilisateurs, infantiliser/windowiser) me parait bien plus approprié. Et probablement plus pérenne.
Il y a plein de raisons légitimes à s'opposer à certaines fonctionnalités des OS proprio (tracking, etc). Mais si jamais une fonctionnalité "ressemble", c'est qu'on n'a pas assez creusé. Parce que, chez nous, c'est libre.
[^] # Re: git-hahaha
Posté par bbo . En réponse au lien Announcing Pijul 1.0 beta. Évalué à 4.
Et pour contribuer aux dépôts, il est possible de pousser du code directement dans une discussion. Pas mal.
J'espère que le code de Nest sera rendu public et sous licence libre. Hâte de voir ça.
[^] # Re: git-hahaha
Posté par bbo . En réponse au lien Announcing Pijul 1.0 beta. Évalué à 4.
Il y a quand même Nest qui fournit (pour le moment) dépôt de code, discussions et "réseau social" (on peut mettre des étoiles !!!). Par contre, pour le moment, c'est pas libre.
[^] # Re: ARN vs inactivés
Posté par bbo . En réponse au journal Moins d’un an pour un vaccin, est-ce surprenant ?. Évalué à 6.
Le Parti Pirate a publié début 2021 une petite synthèse sur la vaccination que j'avais trouvé pas mal. Il y avait notamment un rappel historique de la vaccination.
Je cite :
Tout ça pour dire que je pense que tu as raison : cela n'aurait rien changé.
[^] # Re: AH ah ah
Posté par bbo . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 4.
Peut-être que ce recruteur les connaît tous.
[^] # Re: Association
Posté par bbo . En réponse au lien Appel à une professionnalisation des mainteneurs. Évalué à 3. Dernière modification le 12 décembre 2021 à 23:45.
Ou quelque chose sur le modèle de la FreeBSD Foundation qui (si je dis pas de bêtise) utilise les donations pour aussi financer des développements (ce que ne font pas toutes les fondations pour le coup)
[^] # Re: Ouille !
Posté par bbo . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 7.
Comme déjà précisé par kaos, je pense que tu voulais plutôt dire que les applications ne s'appuient pas sur la version fournie par le système mais que chaque application embarque sa propre version de log4j (bundling).
C'est pas lié au fait que ça soit du Java. Juste que le bundling est une pratique courante dans cet écosystème (notamment sur les applications web qui embarquent leurs dépendances dans le WAR).
Mais, même en Java, tu pourrais t'appuyer sur les dépendances systèmes fournies par ta distribution (qui ont des politiques qui poussent à "debundler" les appli Java). Il faut "juste" que ton classpath soit correctement configuré (mais ce n'est pas toujours simple, surtout si tu pars sur un serveur d'application pas toujours packagé dans ta distribution, par exemple Tomcat…) pour que ton appli utilise le log4j système et que tu passes ta dépendance en "provided" côté applicatif.
C'est donc vraiment une politique globale à avoir mais le niveau de coordination entre les équipes systèmes et applicatives serait, je pense, assez compliqué à mettre en œuvre dans un (très) grand nombre d'entreprises (mon expérience n'est pas forcément représentative mais, côté applicatif, je n'ai jamais été encouragé 1 à m'appuyer sur les lib Java déjà empaquetées par l'OS).
Cependant, j'ai quand même l'impression qu'il y aurait exactement le même problème avec une 0-day dans une lib Python/Ruby/Node/Go/Rust/etc "que tout le monde utilise".
+1 ! Quelques bons articles (à mon avis) sur le sujet :
* Let distros do their job (Drew Devault, Alpine)
* The modern packager’s security nightmare (Michał Górny, Gentoo) qui explique les différentes techniques que les développeurs utilisent pour gérer leurs dépendances (static linking, pinning et bundling) et une 2ème partie sur les problèmes que cela pose.
et je ne l'ai donc jamais fait :) ↩
[^] # Re: Ouille !
Posté par bbo . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 5.
Visiblement, c'est uniquement disponible sur log4j2 >= 2.10.0
[^] # Re: Versions ?
Posté par bbo . En réponse au lien La liste des appareils sur lesquels on peut installer /e/ s'enrichit. Évalué à 10.
D'après Wikipédia, on a les versions suivantes :
La page anglophone indique que seules les versions 9 à 12 reçoivent encore des correctifs de sécurité.
[^] # Re: Objectif de vie inutile
Posté par bbo . En réponse au journal Comptes de 1999 qui êtes vous?. Évalué à 6.
Oui ! En Java/JEE !
# Même son de cloche d'un développeur Gentoo
Posté par bbo . En réponse au lien Python: Please stop screwing over Linux distros. Évalué à 7.
Avec un billet qui rentre un peu plus dans les détails techniques de ce qui coince.
[^] # Re: Wasabi
Posté par bbo . En réponse au journal CFS : Système de fichiers sur stockage objet. Évalué à 4.
Merci PsychoFox de m'avoir aussi fait découvrir rqlite !
Ce qui est drôle c'est que j'ai par hasard découvert dqlite aujourd'hui. La FAQ indique les différences suivantes avec rqlite :
Pour moi, cette semaine aura été celle des SQLite distribués !
[^] # Re: Pas libre, mais publié. Et pas forcément développé.
Posté par bbo . En réponse au journal code.gouv.fr : tout le code libéré par les organismes publics français !. Évalué à 4.
Chez Gitlab où la version propriétaire se trouve dans le sous-dossier
ee/
.Elastic l'avait fait aussi.
[^] # Re: LE MAGNIFIQUE
Posté par bbo . En réponse au journal Belmondo bronsonisé. Évalué à 2.
Normal, c'est parce que, comme les blagues, ça vole haut un hélicotè
Ce film serait devenu une référence sur LinuxFR si le clavier s'était complètement blo
[^] # Re: bronsonized
Posté par bbo . En réponse au journal Belmondo bronsonisé. Évalué à 3. Dernière modification le 11 septembre 2021 à 19:16.
Saloperie de cachou ! ;)
C'est tellement improbable.
[^] # Re: Modération
Posté par bbo . En réponse au lien Les trolls en ligne ne sont en fait que des "abrutis" dans la vie réelle. Évalué à 6.
Si je pousse le raisonnement basé sur ta remarque (je ne t'associe pas à ce raisonnement, c'est juste moi qui déroule) :
Cela ressemble beaucoup à ce que font "les plateformes" et ce que prône différents gouvernements. Ce que beaucoup appellent de la censure.
Autant, la charte pourrait être claire ("on ne s'insulte pas ici"), autant elle ne pourra jamais être précise. Vu que chaque intervention à modérer se fait dans un contexte, je ne vois pas comment on pourra se passer des modérateurs humains qui adaptent leur décision (c'est donc pas "appliqué à la lettre"). Ou alors, il faut que cette charte :
Là, c'est sûr que ça sera plus calme. Mais qu'est qu'on va s'ennuyer les vendredi :-)
A ce sujet, un épisode très intéressant de "Libre à vous" traite de la modération.
[^] # Re: Trollesque ? Pas tant que ça.
Posté par bbo . En réponse à la dépêche Linux 30 ans déjà .... Évalué à 10.
A la base, Linus ne voulait pas qu'on puisse se faire de l'argent sur son code (il admet que c'était une erreur de sa part, et cela n'a pas duré). Il voulait que les gens puisse prendre le code pour faire ce qu'ils voulaient mais (surtout) qu'ils doivent retourner les changements effectués. Et c'est pour cela qu'il a utilisé la GPL v2, car il a estimé que ça "faisait le job".
Dans cette interview, on peut lire :
C'est aussi pour ça qu'il n'aime pas trop les licences permissives de type BSD (où tu n'es pas obligé de partager les changements) :
[^] # Re: Imaginons ce que serait l’informatique d’aujourd’hui sans Linux
Posté par bbo . En réponse à la dépêche Linux 30 ans déjà .... Évalué à 6.
Est-ce que des Google ou AWS auraient pu décoller s'il n'y avait eu que des OS propriétaires qui "protègent l'innovation" (la vraie ⸮) ?
Sinon, dans un monde sans Linux, est-ce que l'informatique en nuage se serait appelée informatique en armoire ? Remarquez, ça serait pratique car une armoire se met facilement on the edge.
Dans un monde sans Linux, on serait plus scalabilité verticale qu'horizontale je pense. Donc, est-ce que certaines boites (probablement américaines, certainement innovantes) disrupteraient le marché en installant carrément des conteneurs chez leurs clients ?
[^] # Re: Génial le chapeau
Posté par bbo . En réponse à la dépêche Laravel 8 est sorti. Évalué à 3.
Oh mais je n'avais jamais fait gaffe !!! Merci pour cette info !
[^] # Re: SQLite Code of Ethics
Posté par bbo . En réponse au journal Le petite histoire derrière SQLite (une interview de Richard Hipp). Évalué à 3.
Je vais enfoncer une porte ouverte, mais je veux être sûr : mon commentaire sur le not Open Contribution n'est pas un soutien à ton commentaire initial :-)
Tu laisses entendre que la croyance religieuse est un critère de sélection pour contribuer à SQLite. C'est bien évidemment faux.
En faisant le sous-entendu que les contributeurs SQLite ne tolèrent pas les athées, tu diffuses une fausse info sur cette équipe. On peut le tourner dans tous les sens, mais cette petite remarque ne peut que nuire à ce projet (au mieux, rien n'a changé, au pire, des gens pensent que SQLite est développée par des intolérants).
Donc, comme ton affirmation en contient beaucoup d'ingrédients, je suppose que c'est pour ça que Philippe t'a dit que c'était du FUD.
[^] # Re: SQLite Code of Ethics
Posté par bbo . En réponse au journal Le petite histoire derrière SQLite (une interview de Richard Hipp). Évalué à 8.
Pour être un peu taquin, de toutes façons, vous ne pouvez pas être développeur SQLite… Tout court :-)
Plus sérieusement, le projet s'affirme Open-Source, not Open-Contribution et cela n'a rien à voir avec leur Code of Ethics :
[^] # Re: Le rapport avec le libre
Posté par bbo . En réponse au lien Pourquoi arrêter l’avion ne devrait plus être un débat. Évalué à 2.
Savais-tu que les changements climatiques diminuent la fermeté et l'acidité des pommes mais augmentent leur taux de sucres ?
[^] # Re: plus de liens
Posté par bbo . En réponse au journal Multiple démissions dans l'équipe du réseau IRC Freenode. Évalué à 2.
Tiens, un peu comme Gentoo :
Bref, Gentoo voulait migrer pour le 13 juin. Et bien, c'est fait depuis le 26 mai !
[^] # Re: Points de vue alternatifs
Posté par bbo . En réponse à la dépêche LSP (Language Server Protocol). Évalué à 5.
Jetbrains, par exemple, a toujours boudé LSP pour ses produits (même s'il existe des plugins)
Je cite cet article de 2018 autour de Rider (IDE .NET propriétaire) :
J'ai aussi trouvé cette discussion autour du support du LSP pour Kotlin dans Intellij (mais les remarques pertinentes s'arrêtent en 2018)
Comme la situation des IDE Jetbrains n'a pas changée, je suppose que les équipes de Jetbrains estiment que ces "problèmes" subsistent, indépendamment des évolutions favorables des Language/Debug Server Protocols.
Tu trouveras peut-être aussi cet article de fin 2020 intéressant. Quoiqu'on pense du LSP, je rejoins complètement une de ses remarques :
[^] # Re: Cas d'usage
Posté par bbo . En réponse au lien Faut-il quitter OVH ?. Évalué à -1.
Tu as tout à fait raison sur le fait que cela ne correspond pas à l'attente que les gens ont.
Après, une autre chose qui me paraît sûre, c'est que le Disaster Recovery Plan étant pudiquement traduit "Plan de Reprise d'Activité (après incident)", cela n'aidait probablement pas à imaginer le pire. Un désastre, ce n'est pas perdre quelques disques ou une paire de VM.
Maintenant, on sait qu'un désastre, c'est perdre plusieurs centres de données (certes, géographiquement au même endroit) avec une partie des sauvegardes et n'avoir qu'un accès erratique à ta console d'administration. Tout ça en quelques instants et pour de nombreuses heures.
[^] # Re: Dommage
Posté par bbo . En réponse à la dépêche Neon arrête son édition LTS. Évalué à 3.
Top !
Ah ah, ça m'a fait penser : peut-on remercier 1000 fois 1 personne ou 1 fois 1000 personnes ?! :)
Blague à part,
Moi, le seul truc qui m'irrite c'est l'éternelle comparaison avec le(s) comportement(s) de Windows (ça marche aussi avec OSX).
Avec ce genre de raisonnement, le menu de Plasma est pourri car il me rappelle le menu "Démarrer" de Windows, Kontact c'est nul car ça me rappelle Outlook, je ne parle pas de Darktable tellement ça me fait penser à Lightroom, oh et puis VLC qui envoit des métadonnées c'est "so-Windows", etc etc
Comme "ça ressemble à Windows", il n'est même plus possible de discuter d'éléments techniques et/ou ergonomiques et/ou historiques.
Je comprends que ce comportement de mise à jour puisse irriter certains utilisateurs (cf ici même suite au changement chez Linux Mint). C'est même tout à fait légitime. Mais l'argument "ça ressemble à Windows", c'est vraiment pas au niveau. Cela affaibli même les autres (bons) arguments.
Discuter du meilleur moyen de laisser le choix, des workflows de chacun, des raisons qui ont poussé les développeurs à mettre ça en place (et, si possible, sans préjuger qu'ils cherchent à "nous", les utilisateurs, infantiliser/windowiser) me parait bien plus approprié. Et probablement plus pérenne.
Il y a plein de raisons légitimes à s'opposer à certaines fonctionnalités des OS proprio (tracking, etc). Mais si jamais une fonctionnalité "ressemble", c'est qu'on n'a pas assez creusé. Parce que, chez nous, c'est libre.