woffer 🐧 a écrit 210 commentaires

Dans l'écosystème Javascript (qui n'est pas un exemple), on peut se passer du registre NPM, et en utiliser un autre. Ou bien spécifier des dépendances git directes, qui sont récupérées sans miroir caché.

Tu peux aussi le faire en Go mais ce n'est pas le comportement par défaut. Mais tu perds le benefice du miroir par contre tu es anonyme (ce qui n'est pas le cas avec le miroir par défaut car il (et Google aussi) voit passer toutes les requêtes)

Pour info, il est possible de mettre en place un miroir perso ou au niveau de son entreprise (ex: https://github.com/gomods/athens) pour éviter de passer par celui de Go (hébergé par Google).

La réponse est plus ou moins satisfaisante. D'un point de vue du développeur, c'est vraiment un plus que de profiter du cache de Google ?

Pour pratiquer grandement le miroir de Go, oui c'est un réel plus car beaucoup plus rapide (qq ms contrairement à plusieurs secondes voire plus).
Avec le miroir, on télécharge uniquement la version ou tag demandé qui est en plus compressé. Sans le miroir, on fait un git clone (donc plusieurs Mo).

De plus, avec le miroir il y a un contrôle du checksum (permettant de ne pas avoir des attaques sur les dépendances), il n'est donc pas possible de supprimer un tag et d'en poser un nouveau sans alerte lors de la compilation.

https://news.ycombinator.com/item?id=34310674

The Go team has been making progress toward a complete fix to this problem.
Go 1.19 added "go mod download -reuse", which lets it be told about the previous download result including the Git commit refs involved and their hashes. If the relevant parts of the server's advertised ref list is unchanged since the previous download, then the refresh will do nothing more than the ref list, which is very cheap.
The proxy.golang.org service has not yet been updated to use -reuse, but it is on our list of planned work for this year.
On the one hand Sourcehut claims this is a big problem for them, but on the other hand Sourcehut also has told us they don't want us to put in a special case to disable background refreshes (see the comment thread elsewhere on this page [1]).
The offer to disable background refreshes until a more complete fix can be deployed still stands, both to Sourcehut and to anyone else who is bothered by the current load. Feel free to post an issue at https://go.dev/issue/new or email me at rsc@golang.org if you would like to opt your server out of background refreshes.
[1] https://news.ycombinator.com/item?id=34311621

J'utilise ça depuis des années sans aucun souci avec un client comme transmission :
https://www.iblocklist.com/list?list=ydxerpxkpcfqjaybcssw

Companies or organizations who are clearly involved with trying to stop filesharing.
Companies which anti-p2p activity has been seen from.
Companies that produce or have a strong financial interest in copyrighted material.
Government ranges or companies that have a strong financial interest in doing work for governments.
Legal industry ranges.
IPs or ranges of ISPs from which anti-p2p activity has been observed.

Un autre exemple (tout frais de ce matin) avec une dépendance contenant une vulnérabilité mais qui n'est pas directement dans la chaîne d'appel du code du projet et comment la corriger :

> govulncheck ./...    
govulncheck is an experimental tool. Share feedback at https://go.dev/s/govulncheck-feedback.

Scanning for dependencies with known vulnerabilities...
No vulnerabilities found.

=== Informational ===

The vulnerabilities below are in packages that you import, but your code
doesn't appear to call any vulnerable functions. You may not need to take any
action. See https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck
for details.

Vulnerability #1: GO-2022-1059
  An attacker may cause a denial of service by crafting an Accept-Language
  header which ParseAcceptLanguage will take significant time to parse.

  Found in: golang.org/x/text/language@v0.3.7
  Fixed in: golang.org/x/text/language@v0.3.8
  More info: https://pkg.go.dev/vuln/GO-2022-1059

On peut identifier la dépendance coupable avec :

> go mod why golang.org/x/text/language
# golang.org/x/text/language
mySuperProject
golang.org/x/text/encoding/htmlindex
golang.org/x/text/language

On peut la corriger avec :

> go get golang.org/x/text/language@v0.3.8
go: downloading golang.org/x/text v0.3.8
go: upgraded golang.org/x/text v0.3.7 => v0.3.8
> go mod tidy

une partie de la réponse (je n'ai pas encore regardé en détail) basée sur un graphe d'appel : https://news.ycombinator.com/item?id=32743119

Pour faire simple, il est important à savoir comme le Go est un langage compilé seul le code avec faille de vos dépendances (modules) utilisé et donc importé sera identifié et notifié par le scanner.

Pour la faire moins simple ou question en suspens voir comment cela gère la réflexion (il faut creuser).

HN : https://news.ycombinator.com/item?id=32737886

… je te conseille (ou pas) la crotte de pigeon.

     .-''-.
    / ,    \
 .-'`(o)    ;
'-==.       |
     `._...-;-.
      )--"""   `-.
     /   .        `-.
    /   /      `.    `-.
    |   \    ;   \      `-._________
    |    \    `.`.;          -------`.
     \    `-.   \\\\          `---...|
      `.     `-. ```\.--'._   `---...|
        `-.....7`-.))\     `-._`-.. /
          `._\ /   `-`         `-.,'
            / /
           /=(_          *
        -./--' `        ***
      ,^-(_            *****
      ,--' `

-> []

Il faut faire attention aussi à la dilatation de l'eau qui aura un effet maximal dans un cycle eau froide vers eau chaude. Donc, il aura sans doute des problèmes de fuites à terme.

Je ne pense pas que le Go et le C++ jouent dans la même cours.
Go ne sera jamais rapide comme le C/C++/Rust/(ajouter ici le langage de votre choix).
Pour moi, le Go brille dans les domaines où les applications passent la majorité de leurs temps à attendre les entrées/sorties (I/O bound) et dans des environnements d’exécution contraints (i.e. tournant sur des pods avec 50 millicpu & 50 mo de ram parce que ça coûte moins cher chez AWS/GCP/Azur/on-premise/(ajouter ici le cloud provider de votre choix). Dans ce domaines, Go permet très facilement de gérer ce genre de problèmes sans que les développeurs s'en soucient de trop (merci aux goroutines, à la sobriété de son runtime et à la simplicité de configuration son garbage collector).
Là, j'ai l'impression, peut-être à tort, qu'on parle plus de d’algorithme dont la limite sera plus la puissance de calcule (CPU bound) avec des gros volumes de données qui n'est pas pour moi le cœur de la cible de Go.

Update (18:00 5 July): Title updated and I've now confirmed from additional sources that Lennart Poettering did indeed quietly depart Red Hat earlier this year for another employment opportunity. He is now employed by another major organization continuing his work on systemd.

TapTempo, c'est le test ultime pour un langage. D'ailleurs, Turing complet c'est has-been.

En tout cas, ils ont bien ripoliner la façade™ avec une couleur assez dégueulasse (enfin je trouve)

Oui, c'est Arch iconnue…

Mais cette technologie repose sur une connexion 4G ou 5G. D'après le ministère de l'Intérieur, l'envoi de ces alertes grâce à la technologie SMS sera mis en place «ultérieurement», notamment pour les Français disposant d'un téléphone avec une connexion 2G ou 3G.

Super ! moi qui n'est jamais connecté à la data avec mon téléphone mobile …

LinuxFR c'est bien pour : LinuxFR Is liNk UX in FRench ?

Le boson Z demande au boson W:
- On peut se tutoyer ? Hein c'est plus sympa.
- Ouais.
- T'es lourd.

J'ai jamais compris pourquoi il n'a pas eu plus de succès que ça

J'ai contribué pendant qq années à Scintillia et SciTE.
Et le choix du mainteneur a tjs été de faire de SciTE une vitrine de la puissance de Scintillia (utilisé dans de nombreux autres éditeurs libres ou non).

Donc, SciTE est très puissant mais son ergonomie n'a jamais été une priorité pour lui.

Ça permet de chercher des mots avec ou sans accent. Exemple généralement va matcher avec generalement (sans accent).
Il y a donc la nouvelle option "Respecter les accents et les diacritiques" dans le champ de recherche comme "Tout surligner", "Respecter la casse" et autres.

Ah ok, j'ai compris.
Merci.

Note pour plus tard : Ne jamais regarder l'internet le 1er avril, je me fais toujours avoir.

J'ai rien compris …
Ça sert à quoi finalement ce truc noir ?

pour ceux que cela intéressent (notion que j'ai découvert avec le lancement de JWST qui est au point L2)

https://fr.wikipedia.org/wiki/Point_de_Lagrange

En Go, le nom du binaire est le nom du répertoire contenant le fichier qui est dans le package main avec la function main.

Je ne sais pas vraiment pourquoi mais sans doute que votre téléphone n'est peut-être pas encore activé ?

Pour info, c'est mon téléphone pro (je n'ai pas de tél perso, j'en ai jamais eu) et c'est un Huawei.

J'ai trouvé ça comme info : https://www.phonandroid.com/sms-remplace-rcs.html

D'ailleurs, il y a une chose qui m’exaspère au plus au point, c'est le fait qu'il faille être connecté à la data pour recevoir ou envoyer des SMS.
Comme, je ne suis pratiquement jamais connecté à la data, je ne recevais jamais les SMS (sauf quand je me connectais à la data donc pas souvent).

Pour revenir au SMS "old school", il faut désactiver le RCS …

Pour le référence du titre : https://video-streaming.orange.fr/musique/le-bon-la-brute-et-le-truand-sergio-leone-1968-ennio-morricone-theme-du-film-CNT000001ah45X.html