Les développeurs de Ruby on Rails (aka RoR, un framwork de développement web open source populaire et basé sur Ruby) viennent d'émettre une alerte concernant une faille de sécurité de type injection SQL touchant toutes les versions de Ruby on Rails. Selon l'annonce, la faille se situe dans l'interface de requêtage d'ActiveRecord et plus précisément dans la manière dont les dynamic finders extraient les options des paramètres de méthodes. Un paramètre peut être utilisé en tant que scope et en manipulant ce dernier, il devient possible d'injecter du SQL. Des appels tels que Post.find_by_id(params[:id]) sont vulnérables. Nous vous laissons consulter l'annonce pour plus de détails.

Les mainteneurs ont sorti des nouvelles versions hier – 3.2.10, 3.1.9 and 3.0.18 – corrigeant le problème et il est fortement recommandé de mettre à jour dès que possible. Pour ceux qui ne peuvent se permettre une mise à jour, des patches sont aussi disponibles pour les branches supportées (3.1.x et 3.2.x), mais aussi des branches plus anciennes et non supportées officiellement (3.0 et 2.3). Dans ce dernier cas, il faut vraiement mettre à jour car les correctifs de sécurité ne sont pas garantis à l'avenir.

LinuxFr.org, qui, rappelons-le, est basé sur RoR, est déjà passé en 3.2.10 !

Le gestionnaire libre de base de données relationnelle PostgreSQL vient de sortir en version 9.2. Cette version est principalement axée sur l’amélioration des performances.

Des informations très détaillées se trouvent sur la page du wiki « What's new in PostgreSQL 9.2 ». La liste des principales nouveautés se trouve en seconde partie de dépêche.

Une nouvelle version 8.10 de Ora2Pg est sortie ce 2 mars 2012 ; cet outil, développé en Perl depuis 2005, permet d'exporter le schéma d'une base de données Oracle vers PostgreSQL. Il est disponible sous licence GPL3+.

Les fonctionnalités de migration automatique proposées concernent les schémas, mais aussi les données et — en partie — les fonctions voire les procédures PL/SQL :

• export de schéma complet
  • tables, vues, séquences, index
  • droits/privilèges pour des utilisateurs et groupes
  • export des vues Oracle en tant que table PostgreSQL
• export de données
  • par table
  • export complet des données ou par sélection via une clause WHERE
  • gestion des objets BLOB Oracle en tant que PG BYTEA
• export des fonctions prédéfinies, triggers, procédures, packages
  • assistance simple à la conversion de code PL/SQL en code PL/pgSQL
  • pour le code spécifique PL/SQL, la conversion reste principalement manuelle

Ce genre d'outil permet de migrer un parc de bases de données Oracle vers un vrai gestionnaire de base de données relationnelles libre tel que PostgreSQL. Les retours d'expérience sont les bienvenus ! Cela peut être la première étape d'une migration, sans oublier d'effectuer les adaptations et tests de non-régression des développements applicatifs se connectant à votre base de données.

MeriseAcide, programme sous licence GPL3, permet de faciliter la modélisation et la création de base de données en exploitant la méthode Merise.

Ce programme en interface console prend en entrée un fichier texte définissant un MCD (Modèle Conceptuel de Données) avec une syntaxe très simple. Il est possible d'obtenir le MCD et le MPD (Modèle Physique des Données) sous forme graphique, les éléments étant positionnés de manière entièrement automatique.

Enfin, le dictionnaire des données et le script SQL de création de la base de données peuvent aussi être générés.

MeriseAcide génère les diagrammes graphiques en PNG ou PDF, et positionne les éléments de manière entièrement automatique, grâce à l'utilisation de la bibliothèque Graphviz.

Le développement d'AnalyseSI a commencé il y a deux ans alors qu'il n'existait aucune alternative libre à PowerAMC.

Aujourd'hui AnalyseSI, en version 0.6.2, commence à être assez avancé pour être utilisé dans les universités.

Même si il ne rivalise pas encore avec le logiciel propriétaire PowerAMC et toutes ces options, AnalyesSI répond aux besoins de personnes voulant apprendre l'analyse Merise grâce à un logiciel facile d'accès, c'est à dire concevoir des modèles conceptuels des données (MCD), de générer le modèle logique des données (MLD) mais aussi un code SQL exécutable par la plupart des SGBD.

J'invite donc toutes les personnes qui travaillent dans les bases de données à tester ce logiciel et à faire part de vos commentaires afin d'améliorer ce logiciel.

NdM : ce logiciel est écrit en Java/Swing et diffusé sous licence GPL.

Je vous présente deux logiciels sous licence GPL pour la conception de bases de données. Une rareté !

Le premier logiciel, devaki-nextobjects (sous licence GPL), permet de faire la modélisation avec la méthode Merise. Ce logiciel comblera-t-il le manque de logiciels de modélisation Merise sous Linux ?

Le deuxième logiciel, DBDesigner 4 (sous licence GPL) permet d'éditer, de modéliser, de concevoir visuellement des bases de données avec MySQL.