Sylvestre Ledru a écrit 657 commentaires

Cool, par contre, là, je peux aider :p

Pour ça, je peux pas t'aider :)

Tu as aussi:
https://support.mozilla.org/fr/kb/installer-firefox-linux#w_installation-par-paquet-deb-pour-les-distributions-basees-sur-debian-recommande

Et ça arrive pour tb:
https://bugzilla.mozilla.org/show_bug.cgi?id=1893603

[je travaille sur Firefox]

Si je peux me permettre, « semble […] bien plus sécurisé » est une impression probablement incorrecte. À ma connaissance / d’après ce que j’ai pu voir, LibreWolf n’ajoute pas de développement spécifique en matière de sécurité par-dessus Firefox.

Il se contente probablement d’activer certaines préférences introduites par les contributeurs/développeurs de Firefox (ou de l’équipe Tor). Si ces options ne sont pas activées par défaut dans Firefox, c’est qu’il y a de bonnes raisons à cela : impact sur les performances, régressions de compatibilité web, sites cassés, amélioration de la sécurité limitée, etc.

La VF est disponible aussi:
https://blog.mozilla.org/netpolicy/2023/06/27/francaise-bloquer-sites/

pdf.js a eu pas mal d'évolutions dans les dernières versions de Firefox:

• acroform;
• xfa;
• tagged pdf (pour l'accessibilité);
• support Javascript dans les PDFs;
• pas mal de corrections de bugs liés aux polices;
• etc

Donc, il vaut mieux utiliser la release de Firefox pour tester (ou nightly ou beta) plutôt que de vielles versions (ou ESR).

Pour info, sur Firefox, on a un coverage de 65% environ:
https://coverage.moz.tools/

Il y a plein de nuances et complexités.
Sur des choses plus simples à tester comme le moteur JS, on est a plus de 85%:
https://coverage.moz.tools/#revision=42496ca2c712c0c68515d69b8e7b152a932e7985&path=js&view=directory

Kirk a écris un résumé de la situation ici:
https://bugzilla.mozilla.org/show_bug.cgi?id=1480452#c8
tldr: c'est pour éviter des bugs vraiment tordus que c'est fait ainsi mais il y a des choses que l'on pourrait améliorer.

Pour suivre le travail, faut suivre ce bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=1705217

Note qu'il y a une astuce, si tu réutilises un onglet ouvert, ça devrait passer.

Ca devrait arriver bientôt en Europe. Mozilla se tire pas de le pied, c'est juste compliqué de déployer un service comme un VPN (compta, facturation, etc) …

-PGO - on me dit qu'on le fait pas (ce qui change pas le propos vu que c'est toutes les plateformes pareil)

Je connais bien Gabriele et Firefox donc je me permets de répondre pour lui.

Je ne doute pas que Gabriele ait utilisé le Clang que Mozilla recompile avec LTO/PGO.
Ils sont compilés de la même manière (stage 3/4, etc). Et niveau du compilateur en tant que tel, Clang n'a pas avoir beaucoup de code spécifique à une plateforme.
Ditto pour Rust.

Ancien trésorier Debian France ici. L'association est devenu une Trusted Organization, c'est-à-dire qu'elle est habilité à gérer des fonds pour Debian.

Debian, c'est surtout un collectif de dévelopeu.r.se.s. On a pas besoin d'être inscris à une association ou autre pour contribuer.

Quelques développeurs ont la chance d'être payé pour contribuer à Debian (exemple: ARM, des chercheurs qui ont besoin de certains logiciels, mon cas quand je bossais sur Scilab ou pour IRILL, etc), d'autres ont créé des entreprises pour vendre du service autour de Debian (deux copains: https://www.freexian.com/ https://debamax.com/fr/) mais une grande partie d'entre nous ne touchent pas un centime pour leur travail (la ligne Debian sur le CV aide pas mal ;)

Ainsi, les besoins de Debian en terme d'€ sont limités et surtout pour:

• achats de serveurs et hosting (même si une partie est des donations)
• achats de matériel vidéo pour les conférences
• Remboursement de voyages (sprint)
• Debconf
• production de goodies (bien souvent vendu avec une belle marge)

Ainsi, les besoins en budget sont assez limités.

Vous trouverez l'excellent et dernier rapport du trésorier de Debian France:

• https://france.debian.net/documents/bilans/2019_bilan.pdf
• tldr: https://france.debian.net/pipermail/ag/2020-February/000185.html

SPI gère aussi pas mal de $$$ pour Debian.
http://lists.spi-inc.org/pipermail/spi-general/2020-October/004105.html

         debit         credit          total
--------------------------------------------
             0  636774.55 USD  636774.55 USD  Equity:Net-Assets:Restricted
 103843.20 USD       0.66 USD -103842.54 USD  Expenses
   1725.06 USD       0.66 USD   -1724.40 USD    Bank-Fees
    470.58 USD              0    -470.58 USD    Conferences:Dining
    401.07 USD              0    -401.07 USD    Currency-Exchange
  54755.93 USD              0  -54755.93 USD    IT
      9.80 USD              0      -9.80 USD      Domains
  53738.60 USD              0  -53738.60 USD      Hardware
   1007.53 USD              0   -1007.53 USD      Hosting
  26000.00 USD              0  -26000.00 USD    Internships
   6823.01 USD              0   -6823.01 USD    Legal
  13667.55 USD              0  -13667.55 USD    Travel
   2535.66 USD              0   -2535.66 USD      Accommodation
    149.96 USD              0    -149.96 USD      Dining
  10981.93 USD              0  -10981.93 USD      Transportation
   1862.76 USD   37808.99 USD   35946.23 USD  Income
             0     656.99 USD     656.99 USD    Currency-Exchange
   1862.76 USD   37152.00 USD   35289.24 USD    Donations
--------------------------------------------
 105705.96 USD  674584.20 USD  568878.24 USD

Si Debian voulait commencer à payer les développeurs, ça serait une histoire complétement différente…

https://github.com/rust-analyzer/rust-analyzer / https://marketplace.visualstudio.com/items?itemName=matklad.rust-analyzer en tant qu'extension pour code est excellent!

C'est du FUD. Mozilla a toujours ses équipes sécurités.

Ouvres un bug pour soumettre l'idée ;)
En la marquant dépendant de https://bugzilla.mozilla.org/show_bug.cgi?id=133787 probablement

j'ai repris le flambeau ; une Debian sans Scilab aurait été un scandale!

Merci encore ;)

Chaque paquet est fait sur la machine du mainteneur du dit paquet.

Pour le paquet source, c'est parfois le cas. Maintenant, on, Debian, peut vérifier la signature du tarball source upstream. Il y a d'autres techniques aussi disponibles pour s'assurer de ça.
Depuis la dernière release debian, pour les binaires, on accepte plus de paquet binaire compilé pour la migration testing. Il faut un upload source pour qu'un paquet migre de unstable => testing.
Les builds reproductibles permettent surtout à quelqu'un de vérifier que, avec la même toolchain, on obtient le même binaire et ainsi qu'il n'y a pas eu d'injection dans le binaire.

C'est pas parfait mais ça s'améliore.

Ah?
https://fr.wikipedia.org/wiki/Mozilla_Lightning
"Depuis Thunderbird 38, Lightning est livré, installé et mis à jour avec Thunderbird"
https://mozillazine-fr.org/le-calendrier-lightning-est-maintenant-livre-avec-thunderbird-38/

Ça utilise les politiques entreprises (qui ont bien souvent leur propre moyen de mise à jour).
C'est pas mieux ou moins bien.

Nan mais faut vraiment pas.
L'option a été supprimée à ma demande dans le bug https://bugzilla.mozilla.org/show_bug.cgi?id=1420514
Parce que c'est vraiment une très très mauvaise idée de pas mettre à jour son navigateur (Firefox ou un autre). Il y a des failles qui sont régulièrement exploitées (et bien sur, on s'en rarement compte) vu que les navigateurs sont de loin les logiciels les plus utilisés sur les ordinateurs.

Si tu veux vraiment, dans le commentaire #137, c'est expliqué comment le faire.

Merci à toi ;)

Pour la prochaine fois, pro-tip, c'est plus efficace de déposer un bug plutôt que se plaindre sur un forum sans vraiment vérifier…

Si un modérateur pouvait corriger le journal, ça serait apprécié!

Tu devrais aussi essayer ripgrep et fd-find si tu les connais pas ;)

Que c'est pas un jeu à somme nulle. Ca permet de libérer du temps pour faire autre chose que déplacer un bug dans un composant ou d'ajouter un mot clé (qui est un boulot peu intéressant et que les machines peuvent faire maintenant).
A la place, ce temps libéré nous permet d'améliorer les méta données (dans quelle version de firefox le bug a été introduit, par quel changement, etc) du bugs pour faciliter la vie des développeurs et des release managers. Automatiser le triage permet aussi d'être beaucoup plus réactif: les bugs sont devant bonnes personnes beaucoup plus rapidement (quelques minutes au lieu de quelques jours).

Firefox est un projet tellement énorme (presque 20M de lignes de code) qu'il devient critique d'améliorer tous les outils de qualité pour pouvoir tenir le rythme et la qualité…

L'outil fait du triage de bugs. Pas (encore) les corriger.