woffer 🐧 a écrit 233 commentaires

https://news.ycombinator.com/item?id=34310674

The Go team has been making progress toward a complete fix to this problem.
Go 1.19 added "go mod download -reuse", which lets it be told about the previous download result including the Git commit refs involved and their hashes. If the relevant parts of the server's advertised ref list is unchanged since the previous download, then the refresh will do nothing more than the ref list, which is very cheap.
The proxy.golang.org service has not yet been updated to use -reuse, but it is on our list of planned work for this year.
On the one hand Sourcehut claims this is a big problem for them, but on the other hand Sourcehut also has told us they don't want us to put in a special case to disable background refreshes (see the comment thread elsewhere on this page [1]).
The offer to disable background refreshes until a more complete fix can be deployed still stands, both to Sourcehut and to anyone else who is bothered by the current load. Feel free to post an issue at https://go.dev/issue/new or email me at rsc@golang.org if you would like to opt your server out of background refreshes.
[1] https://news.ycombinator.com/item?id=34311621

J'utilise ça depuis des années sans aucun souci avec un client comme transmission :
https://www.iblocklist.com/list?list=ydxerpxkpcfqjaybcssw

Companies or organizations who are clearly involved with trying to stop filesharing.
Companies which anti-p2p activity has been seen from.
Companies that produce or have a strong financial interest in copyrighted material.
Government ranges or companies that have a strong financial interest in doing work for governments.
Legal industry ranges.
IPs or ranges of ISPs from which anti-p2p activity has been observed.

Un autre exemple (tout frais de ce matin) avec une dépendance contenant une vulnérabilité mais qui n'est pas directement dans la chaîne d'appel du code du projet et comment la corriger :

> govulncheck ./...    
govulncheck is an experimental tool. Share feedback at https://go.dev/s/govulncheck-feedback.

Scanning for dependencies with known vulnerabilities...
No vulnerabilities found.

=== Informational ===

The vulnerabilities below are in packages that you import, but your code
doesn't appear to call any vulnerable functions. You may not need to take any
action. See https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck
for details.

Vulnerability #1: GO-2022-1059
  An attacker may cause a denial of service by crafting an Accept-Language
  header which ParseAcceptLanguage will take significant time to parse.

  Found in: golang.org/x/text/language@v0.3.7
  Fixed in: golang.org/x/text/language@v0.3.8
  More info: https://pkg.go.dev/vuln/GO-2022-1059

On peut identifier la dépendance coupable avec :

> go mod why golang.org/x/text/language
# golang.org/x/text/language
mySuperProject
golang.org/x/text/encoding/htmlindex
golang.org/x/text/language

On peut la corriger avec :

> go get golang.org/x/text/language@v0.3.8
go: downloading golang.org/x/text v0.3.8
go: upgraded golang.org/x/text v0.3.7 => v0.3.8
> go mod tidy

une partie de la réponse (je n'ai pas encore regardé en détail) basée sur un graphe d'appel : https://news.ycombinator.com/item?id=32743119

Pour faire simple, il est important à savoir comme le Go est un langage compilé seul le code avec faille de vos dépendances (modules) utilisé et donc importé sera identifié et notifié par le scanner.

Pour la faire moins simple ou question en suspens voir comment cela gère la réflexion (il faut creuser).

HN : https://news.ycombinator.com/item?id=32737886

… je te conseille (ou pas) la crotte de pigeon.

     .-''-.
    / ,    \
 .-'`(o)    ;
'-==.       |
     `._...-;-.
      )--"""   `-.
     /   .        `-.
    /   /      `.    `-.
    |   \    ;   \      `-._________
    |    \    `.`.;          -------`.
     \    `-.   \\\\          `---...|
      `.     `-. ```\.--'._   `---...|
        `-.....7`-.))\     `-._`-.. /
          `._\ /   `-`         `-.,'
            / /
           /=(_          *
        -./--' `        ***
      ,^-(_            *****
      ,--' `

-> []

Il faut faire attention aussi à la dilatation de l'eau qui aura un effet maximal dans un cycle eau froide vers eau chaude. Donc, il aura sans doute des problèmes de fuites à terme.

Je ne pense pas que le Go et le C++ jouent dans la même cours.
Go ne sera jamais rapide comme le C/C++/Rust/(ajouter ici le langage de votre choix).
Pour moi, le Go brille dans les domaines où les applications passent la majorité de leurs temps à attendre les entrées/sorties (I/O bound) et dans des environnements d’exécution contraints (i.e. tournant sur des pods avec 50 millicpu & 50 mo de ram parce que ça coûte moins cher chez AWS/GCP/Azur/on-premise/(ajouter ici le cloud provider de votre choix). Dans ce domaines, Go permet très facilement de gérer ce genre de problèmes sans que les développeurs s'en soucient de trop (merci aux goroutines, à la sobriété de son runtime et à la simplicité de configuration son garbage collector).
Là, j'ai l'impression, peut-être à tort, qu'on parle plus de d’algorithme dont la limite sera plus la puissance de calcule (CPU bound) avec des gros volumes de données qui n'est pas pour moi le cœur de la cible de Go.

Update (18:00 5 July): Title updated and I've now confirmed from additional sources that Lennart Poettering did indeed quietly depart Red Hat earlier this year for another employment opportunity. He is now employed by another major organization continuing his work on systemd.

TapTempo, c'est le test ultime pour un langage. D'ailleurs, Turing complet c'est has-been.

En tout cas, ils ont bien ripoliner la façade™ avec une couleur assez dégueulasse (enfin je trouve)

Oui, c'est Arch iconnue…

Mais cette technologie repose sur une connexion 4G ou 5G. D'après le ministère de l'Intérieur, l'envoi de ces alertes grâce à la technologie SMS sera mis en place «ultérieurement», notamment pour les Français disposant d'un téléphone avec une connexion 2G ou 3G.

Super ! moi qui n'est jamais connecté à la data avec mon téléphone mobile …

LinuxFR c'est bien pour : LinuxFR Is liNk UX in FRench ?

Le boson Z demande au boson W:
- On peut se tutoyer ? Hein c'est plus sympa.
- Ouais.
- T'es lourd.

J'ai jamais compris pourquoi il n'a pas eu plus de succès que ça

J'ai contribué pendant qq années à Scintillia et SciTE.
Et le choix du mainteneur a tjs été de faire de SciTE une vitrine de la puissance de Scintillia (utilisé dans de nombreux autres éditeurs libres ou non).

Donc, SciTE est très puissant mais son ergonomie n'a jamais été une priorité pour lui.

Ça permet de chercher des mots avec ou sans accent. Exemple généralement va matcher avec generalement (sans accent).
Il y a donc la nouvelle option "Respecter les accents et les diacritiques" dans le champ de recherche comme "Tout surligner", "Respecter la casse" et autres.

Ah ok, j'ai compris.
Merci.

Note pour plus tard : Ne jamais regarder l'internet le 1er avril, je me fais toujours avoir.

J'ai rien compris …
Ça sert à quoi finalement ce truc noir ?

pour ceux que cela intéressent (notion que j'ai découvert avec le lancement de JWST qui est au point L2)

https://fr.wikipedia.org/wiki/Point_de_Lagrange

En Go, le nom du binaire est le nom du répertoire contenant le fichier qui est dans le package main avec la function main.

Je ne sais pas vraiment pourquoi mais sans doute que votre téléphone n'est peut-être pas encore activé ?

Pour info, c'est mon téléphone pro (je n'ai pas de tél perso, j'en ai jamais eu) et c'est un Huawei.

J'ai trouvé ça comme info : https://www.phonandroid.com/sms-remplace-rcs.html

D'ailleurs, il y a une chose qui m’exaspère au plus au point, c'est le fait qu'il faille être connecté à la data pour recevoir ou envoyer des SMS.
Comme, je ne suis pratiquement jamais connecté à la data, je ne recevais jamais les SMS (sauf quand je me connectais à la data donc pas souvent).

Pour revenir au SMS "old school", il faut désactiver le RCS …

Pour le référence du titre : https://video-streaming.orange.fr/musique/le-bon-la-brute-et-le-truand-sergio-leone-1968-ennio-morricone-theme-du-film-CNT000001ah45X.html

La seule unité temporelle reconnue par le système international est la seconde, mais je crois qu'elle peut admettre l'utilisation des minutes/heures/etc. Mais quand on exprime une durée 1 jour = 24h = 1 440 min = 86 400s.

D'après https://fr.wikipedia.org/wiki/Chronologie_du_futur_lointain :

Dans 50 000 ans, la longueur du jour solaire atteint 86 401 secondes, à cause des forces de marée lunaires freinant la rotation de la Terre. Selon le système actuel, une seconde intercalaire devrait être alors ajoutée aux horloges tous les jours9.

Ça va être le bordel de gérer le code legacy.
Heureusement que je serai à la retraite (ou pas :))

On est d'accord sur la mocheté des panic/recover mais avec cette petite joyeuseté supplémentaire.

Bon, en Go, je ne panique pratiquement jamais, sauf si c'est une erreur fatale au démarrage (ex: impossible de binder un port ou de se connecter à une BDD ou autres choses). Sinon je gère le cas non passant via des erreurs (le célèbre if err != nil) avec le cas passant sur le côté gauche (https://medium.com/@matryer/line-of-sight-in-code-186dd7cdea88). Ca m'autorise en relecture de folder facilement le code pour me concentrer sur le cas passant.