Je n'ai pas d'avis tranché mais je me pose des questions, que je vous partage.
GNU coreutils est là depuis plus longtemps que nous, ça fait largement le taf', et ce n'est même pas la première implémentation de ces outils. uutils (la réimplémentation de ces outils en Rust) est tout jeune et le leitmotiv, d'après leur site, est de moderniser ces outils.
L'argument de réécrire des logiciels en Rust pour des raisons de sécurité me convainc. Globalement je ne trouve pas ça déconnant. Donc j'ai une question pour les experts en sécurité : quelles sont les dernières failles trouvées dans GNU ls, cp, grep, etc ?
Je vois que uutils publie sous licence MIT là où GNU publie en GPL. Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
Et pour grogner un peu : arrêtez de mettre « moderne » sur tout vos trucs. « foo-rs is a modern replacement for foo », « modern C++ »… On s'en fiche que ce soit moderne, on veut que ça soit mieux ou équivalent sur toutes les dimensions. L'apport de Rust c'est le borrow-checker, la rigueur que ça impose, et par extension la forte réduction du risque d'utilisation de l'app comme vecteur d'attaque, et cela sans sacrifier les performances. Ce n'est pas « moderne », c'est juste beaucoup mieux que l'existant.
Je vois que uutils publie sous licence MIT là où GNU publie en GPL. Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
Je reviens là dessus: je pense que je comprends l'intention derrière cette phrase, mais je vais y apporter une précision: il n'y a RIEN dans la GPL qui force les forkers à remonter leurs patchs upstream ou même à les publier pour tout le monde.
L'obligation elle est envers les destinataires ("recipients") du projet.
On s'entend qu'après il n'y a rien qui empêche lesdits destinataires de publier ce code ci de façon plus générale.
# Il fait tiède
Posté par Julien Jorge (site web personnel) . Évalué à 10 (+11/-1).
Je n'ai pas d'avis tranché mais je me pose des questions, que je vous partage.
GNU coreutils est là depuis plus longtemps que nous, ça fait largement le taf', et ce n'est même pas la première implémentation de ces outils. uutils (la réimplémentation de ces outils en Rust) est tout jeune et le leitmotiv, d'après leur site, est de moderniser ces outils.
L'argument de réécrire des logiciels en Rust pour des raisons de sécurité me convainc. Globalement je ne trouve pas ça déconnant. Donc j'ai une question pour les experts en sécurité : quelles sont les dernières failles trouvées dans GNU
ls,cp,grep, etc ?Je vois que uutils publie sous licence MIT là où GNU publie en GPL. Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
Et pour grogner un peu : arrêtez de mettre « moderne » sur tout vos trucs. « foo-rs is a modern replacement for foo », « modern C++ »… On s'en fiche que ce soit moderne, on veut que ça soit mieux ou équivalent sur toutes les dimensions. L'apport de Rust c'est le borrow-checker, la rigueur que ça impose, et par extension la forte réduction du risque d'utilisation de l'app comme vecteur d'attaque, et cela sans sacrifier les performances. Ce n'est pas « moderne », c'est juste beaucoup mieux que l'existant.
[^] # Re: Il fait tiède
Posté par jtremesay (site web personnel) . Évalué à 10 (+8/-0).
https://app.opencve.io/cve/?vendor=gnu&product=coreutils
[^] # Re: Il fait tiède
Posté par pamputt . Évalué à 6 (+4/-0). Dernière modification le 20 mars 2025 à 13:44.
Donc 10 failles en 20 ans sur l'ensemble des outils de coreutils (dont seulement 3 avec un score CVSS 3.1). C'est franchement pas énorme.
[^] # Re: Il fait tiède
Posté par Glandos . Évalué à 8 (+6/-0).
https://sylvestre.ledru.info/coreutils-fosdem-2025/#47
L'auteur principal le dit : ce n'est pas un problème de sécurité. Les utilitaires GNU coreutils sont très bien de ce point de vue là.
Donc l'argument d'Ubuntu est mauvais.
[^] # Re: Il fait tiède
Posté par Storm . Évalué à 1 (+0/-0).
Je reviens là dessus: je pense que je comprends l'intention derrière cette phrase, mais je vais y apporter une précision: il n'y a RIEN dans la GPL qui force les forkers à remonter leurs patchs upstream ou même à les publier pour tout le monde.
L'obligation elle est envers les destinataires ("recipients") du projet.
On s'entend qu'après il n'y a rien qui empêche lesdits destinataires de publier ce code ci de façon plus générale.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.