bbo a écrit 204 commentaires

Donc j'ai le sentiment que ce qui a été mesuré, c'est la vitesse de démarrage de l’interpréteur python (en C) par rapport à un programme en C.

Pas sûr. Il est dit :

A 10 reprises, chaque solution a été exécutée et les performances associées mesurées « afin de réduire l’impact des démarrages à froid et des effets du cache, d’analyser la cohérence des mesures et d’éviter les valeurs aberrantes ». Et ils rapportent que « les résultats mesurés sont assez cohérents »

Toujours la petite info décalée mais dans le contexte. "Comment by antistress" :)

Peut-être pourras-tu vendre des NFT de tes meilleurs commentaires sur LinuxFR ? ;)

Qu'est ce qui explique la tendance de ces trucs ?

L'opportunisme et la cupidité ?

J'avais lu l'article de S. Bortzmeyer sur les NFT (d'ailleurs cité par SebSauvage). Et je suis assez en phase avec ce qu'il écrit :

Est-ce une escroquerie ? S'il y a des prétentions malhonnêtes (comme l'authenticité de l'œuvre) dans le discours marketing sur les NFT, d'un autre côté, on peut dire que vendre du virtuel n'a rien de mal en soi, cela se fait tout le temps, entre autre dans le marché de l'art, qui est souvent du grand n'importe quoi (mon projet actuel est de laisser un fromage dehors, d'attendre qu'il se couvre de moisissure et de le vendre ensuite comme œuvre d'art). Si des gens achètent, et sont bien informés et conscients de ce qu'ils achètent, pourquoi pas ?

Nous avions déjà la capacité à trouver des moyens de faire de l'argent sur tout avant que les NFT apparaissent.

Du côté de Clever Cloud, sur la partie techno, ils aiment beaucoup Rust et ils ont aussi du Scala pour leurs développements internes. Leur choix de distribution Linux s'est porté sur Exherbo.

Et pour contribuer aux dépôts, il est possible de pousser du code directement dans une discussion. Pas mal.

J'espère que le code de Nest sera rendu public et sous licence libre. Hâte de voir ça.

en attendant d'être propulsé aussi par un Pijulhub

Il y a quand même Nest qui fournit (pour le moment) dépôt de code, discussions et "réseau social" (on peut mettre des étoiles !!!). Par contre, pour le moment, c'est pas libre.

Je suis convaincu qu'un vaccin conventionnel n'y aurait rien changé.

Le Parti Pirate a publié début 2021 une petite synthèse sur la vaccination que j'avais trouvé pas mal. Il y avait notamment un rappel historique de la vaccination.

Je cite :

Comme le rappelle l’historien Laurent-Henri Vignaud dans ses entretiens et dans ses livres, « dès qu’il y a eu vaccin, il y a eu anti-vaccin ».

Tout ça pour dire que je pense que tu as raison : cela n'aurait rien changé.

Les managers "qui vous font grandir" sont très rares.

Peut-être que ce recruteur les connaît tous.

on peut créer une grosse entreprise et l'utiliser pour collecter les paiements pour de nombreux développeurs.

Ou quelque chose sur le modèle de la FreeBSD Foundation qui (si je dis pas de bêtise) utilise les donations pour aussi financer des développements (ce que ne font pas toutes les fondations pour le coup)

c'est une dépendance java, donc liée statiquement et pas dynamiquement dans les logiciels

Comme déjà précisé par kaos, je pense que tu voulais plutôt dire que les applications ne s'appuient pas sur la version fournie par le système mais que chaque application embarque sa propre version de log4j (bundling).

C'est pas lié au fait que ça soit du Java. Juste que le bundling est une pratique courante dans cet écosystème (notamment sur les applications web qui embarquent leurs dépendances dans le WAR).

Mais, même en Java, tu pourrais t'appuyer sur les dépendances systèmes fournies par ta distribution (qui ont des politiques qui poussent à "debundler" les appli Java). Il faut "juste" que ton classpath soit correctement configuré (mais ce n'est pas toujours simple, surtout si tu pars sur un serveur d'application pas toujours packagé dans ta distribution, par exemple Tomcat…) pour que ton appli utilise le log4j système et que tu passes ta dépendance en "provided" côté applicatif.

C'est donc vraiment une politique globale à avoir mais le niveau de coordination entre les équipes systèmes et applicatives serait, je pense, assez compliqué à mettre en œuvre dans un (très) grand nombre d'entreprises (mon expérience n'est pas forcément représentative mais, côté applicatif, je n'ai jamais été encouragé ¹ à m'appuyer sur les lib Java déjà empaquetées par l'OS).

Cependant, j'ai quand même l'impression qu'il y aurait exactement le même problème avec une 0-day dans une lib Python/Ruby/Node/Go/Rust/etc "que tout le monde utilise".

Le délai de correction sera donc assez long : il faut que la bibliothèque soit mise à jour puis que chaque logiciel qui l'utilise soit mis à jour (sachant qu'une partie de ces logiciels ne sont de toute façon plus maintenus !)

+1 ! Quelques bons articles (à mon avis) sur le sujet :
* Let distros do their job (Drew Devault, Alpine)
* The modern packager’s security nightmare (Michał Górny, Gentoo) qui explique les différentes techniques que les développeurs utilisent pour gérer leurs dépendances (static linking, pinning et bundling) et une 2ème partie sur les problèmes que cela pose.

Pour se protéger en attendant que ça soit correctement patché quelqu'un de plus compétent que moi m'a proposé d'ajouter le drapeau suivant sur les lignes de commande : -Dlog4j2.formatMsgNoLookups=true (je n'ai pas testé si ça avait un impact réel ou non).

Visiblement, c'est uniquement disponible sur log4j2 >= 2.10.0

À quoi correspondent les versions Q et R ? Les versions 10 et 11 ?

D'après Wikipédia, on a les versions suivantes :

• Android 7 = Nougat (août 2016)
• Android 8 = Oreo (août 2017)
• Android 9 = Pie (août 2018)
• Android 10 (septembre 2019) : nom de code Q en interne durant le développement
• Android 11 (septembre 2020): nom de code R en interne durant le développement
• Android 12 (octobre 2021)

La page anglophone indique que seules les versions 9 à 12 reçoivent encore des correctifs de sécurité.

ce serait bien de réécrire le site

Oui ! En Java/JEE !

Avec un billet qui rentre un peu plus dans les détails techniques de ce qui coince.

Tu me fais découvrir rqlite, merci :)

Merci PsychoFox de m'avoir aussi fait découvrir rqlite !

Ce qui est drôle c'est que j'ai par hasard découvert dqlite aujourd'hui. La FAQ indique les différences suivantes avec rqlite :

The main differences from rqlite are:
- Embeddable in any language that can interoperate with C
- Full support for transactions
- No need for statements to be deterministic (e.g. you can use time() )
- Frame-based replication instead of statement-based replication

Pour moi, cette semaine aura été celle des SQLite distribués !

Je n’ai pas d’exemple en tête mais ça existe.

Chez Gitlab où la version propriétaire se trouve dans le sous-dossier ee/.

Elastic l'avait fait aussi.

Normal, c'est parce que, comme les blagues, ça vole haut un hélicotè

Ce film serait devenu une référence sur LinuxFR si le clavier s'était complètement blo

Saloperie de cachou ! ;)

C'est tellement improbable.

Si je pousse le raisonnement basé sur ta remarque (je ne t'associe pas à ce raisonnement, c'est juste moi qui déroule) :

• si une charte "claire et précise" était possible, il n'y aurait aucun problème à automatiser la modération (un logiciel sait bien faire que la spec est "claire et précise"),
• vu que cette modération ne poserait pas de problème (car "claire" et appliquée "à la lettre"), on pourrait même l'appliquer à priori.

Cela ressemble beaucoup à ce que font "les plateformes" et ce que prône différents gouvernements. Ce que beaucoup appellent de la censure.

Autant, la charte pourrait être claire ("on ne s'insulte pas ici"), autant elle ne pourra jamais être précise. Vu que chaque intervention à modérer se fait dans un contexte, je ne vois pas comment on pourra se passer des modérateurs humains qui adaptent leur décision (c'est donc pas "appliqué à la lettre"). Ou alors, il faut que cette charte :

• interdise l'ironie, l'humour et la caricature (parce que sinon, y aura toujours quelqu'un pour taper les limites et frôler l'insulte)
• définisse une liste des sujets à ne pas aborder (au hasard, les sujets politiques ou sociétaux).

Là, c'est sûr que ça sera plus calme. Mais qu'est qu'on va s'ennuyer les vendredi :-)

---

A ce sujet, un épisode très intéressant de "Libre à vous" traite de la modération.

A la base, Linus ne voulait pas qu'on puisse se faire de l'argent sur son code (il admet que c'était une erreur de sa part, et cela n'a pas duré). Il voulait que les gens puisse prendre le code pour faire ce qu'ils voulaient mais (surtout) qu'ils doivent retourner les changements effectués. Et c'est pour cela qu'il a utilisé la GPL v2, car il a estimé que ça "faisait le job".

Dans cette interview, on peut lire :

The GPL ensures that nobody is ever going to take advantage of your code. It will remain free and nobody can take that away from you. I think that's a big deal for community management.

C'est aussi pour ça qu'il n'aime pas trop les licences permissives de type BSD (où tu n'es pas obligé de partager les changements) :

"Over the years, I've become convinced that the BSD license is great for code you don't care about"

Par contre cela auraient énormément bridé l'innovation et gêné l'émergence de bon nombre de start-up

Est-ce que des Google ou AWS auraient pu décoller s'il n'y avait eu que des OS propriétaires qui "protègent l'innovation" (la vraie ⸮) ?

Sinon, dans un monde sans Linux, est-ce que l'informatique en nuage se serait appelée informatique en armoire ? Remarquez, ça serait pratique car une armoire se met facilement on the edge.

Dans un monde sans Linux, on serait plus scalabilité verticale qu'horizontale je pense. Donc, est-ce que certaines boites (probablement américaines, certainement innovantes) disrupteraient le marché en installant carrément des conteneurs chez leurs clients ?

Quand on rédige un article, une paire de ciseaux apparait dans la marge. Ce n'est qu'une indication de la taille maximale recommandée

Oh mais je n'avais jamais fait gaffe !!! Merci pour cette info !

Je vais enfoncer une porte ouverte, mais je veux être sûr : mon commentaire sur le not Open Contribution n'est pas un soutien à ton commentaire initial :-)

Tu laisses entendre que la croyance religieuse est un critère de sélection pour contribuer à SQLite. C'est bien évidemment faux.

En faisant le sous-entendu que les contributeurs SQLite ne tolèrent pas les athées, tu diffuses une fausse info sur cette équipe. On peut le tourner dans tous les sens, mais cette petite remarque ne peut que nuire à ce projet (au mieux, rien n'a changé, au pire, des gens pensent que SQLite est développée par des intolérants).

Donc, comme ton affirmation en contient beaucoup d'ingrédients, je suppose que c'est pour ça que Philippe t'a dit que c'était du FUD.

Pour être un peu taquin, de toutes façons, vous ne pouvez pas être développeur SQLite… Tout court :-)

---

Plus sérieusement, le projet s'affirme Open-Source, not Open-Contribution et cela n'a rien à voir avec leur Code of Ethics :

In order to keep SQLite completely free and unencumbered by copyright, the project does not accept patches. If you would like to suggest a change and you include a patch as a proof-of-concept, that would be great. However, please do not be offended if we rewrite your patch from scratch.

Savais-tu que les changements climatiques diminuent la fermeté et l'acidité des pommes mais augmentent leur taux de sucres ?