Electro Monkeys

Le bug bounty, ou chasse aux bugs ou encore prime aux bogues, est un programme de récompenses pour les personnes qui découvrent et rapportent les bugs d'un site web. En d'autres termes, une entreprise, telle que Facebook ou Google, permet aux hackers bienveillants (souvent appelés white hats ou chapeaux blancs) de lui rapporter les vulnérabilités qui l'affectent en échange d'une récompense.La méthode n'est certes pas nouvelle : elle a été bien éprouvée et a pu démontrer toute son efficacité. Alors pourquoi n'avons nous pas encore de programme sur tous nos sites web ? C'est à dire que tout le monde n'est pas Facebook ou Google, dans le sens où il n'a pas une communauté de personnes prête à répondre à leur propre campagne de bug bounty.Autre point : il faut créer un cadre légal pour entourer cette pratique, aussi bien pour se protéger d'abus, que pour protéger ceux qui donnent de leur temps à traquer les bugs. Et tout cela pour quels bénéfices au juste ? Est-ce qu'une telle chasse est vraiment nécessaire dans notre univers cloud natif ?Pour répondre à toutes ces questions, j'ai le plaisir de recevoir le chef de l'Internet : Korben. Manuel Dorne, alias Korben, est en effet le co-fondateur de YESWEHACK, une plateforme de bug bounty bien connues des spécialistes en sécurité. Il nous emmène à la découverte de ces pirates en quête des trésors du web !Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Parmi l'arsenal des différents outils mis à notre disposition pour notre veille technologique, il y a le podcast. Bien évidemment, je ne serais pas là si je n'en étais pas persuadé, et peut-être que vous non plus. Mais qui sont ces fous qui se mettent chaque semaine derrière un micro pour créer des contenus toujours nouveaux ? Qu'est-ce qui les fait avancer ? Où vont-ils chercher leurs idées ?Chaque podcast à sa propre identité et son propre style, non seulement au travers de ses thématiques, mais aussi par la personnalité de celui qui l'anime. Bruno Soulez, que vous connaissez peut-être déjà, est le créateur de If This Then Dev, un podcast que je suis depuis ses débuts, et qui m'a décidé à me lancer à créer mon propre show.Si vous êtes curieux de partager l'espace d'une heure l'intimité d'un podcaster, vous êtes les bienvenus ! Vous y apprendrez comment IfTTD a été créé, quels sujets tiennent vraiment à coeur à Bruno, ce qu'il espère transmettre au travers de ses épisodes, et surtout la réponse à cette grande question : pourquoi ne mange-t-il que des yaourts qu'il fabrique lui-même ?Notes de l'épisodeIf This Then Dev https://ifttd.io/Cosa Vostra https://www.cosavostra.com/Big Bang Media https://www.facebook.com/BigBangMediaIncubateur/Génération Do It Yourself https://www.gdiy.fr/2h de perdues https://www.2hdp.fr/No Limit Sécu https://www.nolimitsecu.fr/Les Cast Codeurs https://lescastcodeurs.com/The Mature Dev https://www.themature.dev/Tech Rocks https://www.tech.rocks/Artisan Développeur https://artisandeveloppeur.fr/Episode #5 Comment regarder Netflix depuis l'espace ? https://ifttd.io/5-raphael-goldwaser/Episode #10 Coder pour guérir les autres https://ifttd.io/10-coder-pour-guerir-les-autres-dominique-sauquet/Episode #14 Coder peu, coder mieux https://ifttd.io/14-coder-peu-coder-mieux-dimitri-baeli/Episode #20 beta.gouv quand l'état se met en mode start-up https://ifttd.io/20-beta-gouv-quand-letat-se-met-en-mode-start-up-julien-dauphant/Episode #21 Une organisation libre où prime innovation et bonheur https://ifttd.io/21-une-organisation-libre-ou-prime-innovation-et-bonheur-quentin-adam/Episode  #46 De l'ordinateur beige au numérique vert https://ifttd.io/46-de-lordinateur-beige-au-numerique-vert-frederic-bordage/Episode #52 Le veilleur de nuit https://ifttd.io/52-le-veilleur-de-nuit/Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Les API, pour Application Programming Interface, ont totalement bouleversé la manière d'écrire un service Web. Aujourd'hui, elles sont quasiment incontournables, d'une part parce qu'elles simplifient le développement d'applications, et d'autre part, parce qu'elles établissent un contrat documenté avec leurs consommateurs. Créées aux début des années 2000, elles se sont popularisées par la suite, jusqu'à voir leur nombre exploser avec l'arrivée des micro services.Mais à mesure que nous développons des API, nous nous rendons vite compte qu'elles ont toutes des points communs, comme l'authentification, le throttling ou le rate limiting. Réécrire ce tronc commun serait non seulement long et pénible, mais aussi il offrirait une expérience utilisateur différente pour chaque API. C'est à ce moment qu'entre en jeu les gestionnaires d'API, tel que Kong, qui est sans doute le plus populaire à ce jour.Dans cet épisode, j'ai le plaisir de recevoir Thibault Charbonnier. Thibault est principal engineer pour Kong Inc., et il n'est pas seulement le mainteneur de Kong, mais il a également participer à sa création ! Avec lui, je reviens donc sur Kong, de ses origines à aujourd'hui, sur son fonctionnement et sur ses cas d'usages.Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Java est un langage populaire apprécié de nombreux développeurs. Certes, il est là depuis des lustres, et certains pourraient le penser obsolète face à Go ou à Rust. Pourtant, bien loin de cette hype, Java continue à faire son chemin et à se réinventer lui-même jour après jour.Pour évoquer les défis de Java face au cloud natif, j'ai déjà eu l'occasion de parler de Spring et de GraalVM native image. Cette fois, la discussion se porte sur Quarkus, que Red Hat décrit comme étant un framework Java natif pour Kubernetes, et Eclipse Vert.x une librairie Java qui facilite l'écriture de micro services.Pour évoquer ces sujets, je n'ai un, mais deux invités : Thomas Segismont et Julien Ponge. Thomas et Julien travaillent tous deux pour Red Hat, où ils sont respectivement senior software engineer et principal software engineer. Ils nous emmènent à la découverte de Quarkus et de Vert.x sur fond de GraalVM.Notes de l'épisodeVert.x in Action, Manning Publications : https://www.manning.com/books/vertx-in-action?a_aid=vertx-in-action&a_bid=22152024Le dev mode Quarkus:est supporte la plupart des protocoles, dont les outils en ligne de commande, gRPC et Kafka (update depuis l'enregistrement de l'épisode)Red Hat supporte activement Quarkus : https://quarkus.io/support/Pour ce qui concerne le mode natif, du point de vue du support Red Hat c'est Tech Preview pour l'instant (best effort). Mais la prochaine version produit devrait venir avec le support de Mandrel (https://github.com/graalvm/mandrel). Mandrel est un sous-projet de Graal qui fournit un compilateur native-image taillé pour Quarkus.Mandrel (https://github.com/graalvm/mandrel) est supporté par Red HatLa roadmap Vert.x : https://github.com/vert-x3/wiki/wiki/Vert.x-Roadmap#vertx-4La roadmap Quarkus :  https://github.com/orgs/quarkusio/projects/5Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Les Progressive Web Apps sont des sites web qui, d'un point de vue de l'utilisateur, peuvent être perçus comme des applications natives. Elles sont avant tout destinées aux mobiles, car elles ont l'avantage, par leur nature, d'être  multi plateformes. Elles ont également un autre avantage : celui de ne pas dépendre des contraintes d'un app store.Tous ces aspects sont attractifs pour les entreprises, qui peuvent ainsi réduire leurs coûts de développement. Mais alors, comment fonctionnent ces applications ? Sont-elles facile à développer ? Quels inconvénient ont-elles vis à vis des applications natives ? Car on peut légitimement s'interroger sur la sécurité ou la stabilité d'une telle application.Dans cet épisode, je reçois Emmanuel Demey. Emmanuel est consultant Angular indépendant, et il vient récemment de publié un livre, simplement appelé Progressive Web App aux éditions ENI. Avec lui, non seulement nous allons en apprendre un peu plus sur ces applications web d'un genre nouveau, mais vous aurez aussi peut-être une chance de repartir avec un de ses livres.Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

GraalVM native image est un projet très attractif pour les équipes de développeurs Java qui veulent créer des microservices, et peut-être les utiliser dans des conteneurs. GraalVM native image permet en effet de compiler du code Java en code natif. Mais cela ne va pas sans soulever bon nombre de questions :Quelles performances pouvons-nous attendre de ce code comparé à cette même application exécutée par une JVM ?Quels outils sont à notre disposition pour le debugging et le monitoring ?Faut-il changer la façon dont le code doit être écrit ?Quel est le niveau d'intégration de GraalVM native image dans les différent frameworks Java ?Et aussi : où en est le projet, est-il déjà prêt pour la production ?Dans cet épisode, j'ai le plaisir de recevoir Sébastien Deleuze. Sébastien est ingénieur Spring dans l'équipe VMware, et travaille à l'intégration de GraalVM native image dans le framework Spring. Qui mieux que lui pourrait répondre à mes nombreuses questions sur le sujet, et nous donner un aperçu exhaustif de l'avancée des travaux ?Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Docker est un outil apprécié des développeurs pour sa simplicité. Docker compose emprunte cette même philosophie en permettant de démarrer une stack applicative avec une simple commande UP. Mais l'arrivée de Kubernetes est venue changer la donne, et la bien connue "developer experience" n'est plus du tout comparable à ce qu'elle était.Il n'est pas surprenant dans ce contexte de voir certains développeurs se tourner vers Fargate ou Cloud Run qui enlèvent totalement la complexité de l'orchestrateur de l'équation. Mais les fournisseurs de cloud ne sont pas réputés pour simplifier la vie des développeurs.Dans cet épisode, je reçois Nicolas de Loof. Nicolas se qualifie lui même de bricoleur dangereux, et travail pour Docker Inc sur la nouvelle mouture de compose : une version capable de fonctionner aussi bien en local que dans le cloud. Avec lui je reviens sur l'intérêt qu'apporte un outil tel que compose, mais aussi sur les raisons qui l'ont contraint à évoluer.Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Les conteneurs nous permettent plus que jamais d'accélérer le déploiement de nos applications. Elles sont désormais portables, prêtes à l'emploi et il est possible d'en exécuter des centaines, voire des milliers, sur une même machine. Mais il y a un revers à la médaille : comment être sûr qu'une application n'exécute que le code pour lequel elle est conçue ? Comment repérer un shell malicieux lancé par un tier ? Plus la densité de conteneurs sur un noeud augmente, et plus cette tâche pourrait sembler se complexifier.Bien sûr, il existe depuis longtemps des outils pour nous protéger, comme SELinux, AppArmor ou Seccomp. Ils ne nous mettent pourtant pas à l'abri d'une règle mal écrite ou trop laxiste. Alors comment s'assurer que la règle définie ne contiennent pas de faille qui permette de s'en échapper ? La réponse semble évidente : par l'audit nos systèmes. Et Falco est justement un outil nous permettant de nous acquitter facilement de cette tâche.Dans cet épisode, je reçois Thomas Labarussias. Thomas est Site Reliability Engineer pour Qonto, mais il est avant tout le mainteneur de Falco Sidekick. Avec lui, je discute de Falco et de ce qu'il apporte en terme de sécurité à nos applications, mais aussi de Sidekick, de ses cas d'usage, et des raisons qui ont poussé Thomas à s'investir dans un tel projet.Notes de l'épisodeCaptations et les compte-rendus de la communauté de Falco : https://github.com/falcosecurity/communitySupport the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

La sécurité est un aspect fondamental et pourtant souvent négligé de nos systèmes d'information. Pourquoi ? Qui n'a pas trouvé les exploits de Mr Robot palpitants ?... Alors qu'est-ce qui cloche ?  Serait-ce parce que cette fois nous ne sommes pas du même côté de la barrière ? Probablement. Avoir une bonne hygiène de sécurité demande beaucoup d'efforts, de temps et de connaissances. Et avec tout ce qui "shift left" ces dernières années, il est difficile, mais vraiment difficile, de trouver le temps nécessaire.Cependant, nous ne pouvons pas nous permettre de passer au travers ou de simplement l'ignorer. J'ai donc décidé de faire une série sur les différents aspects de la sécurité, en commençant tout naturellement par la chaîne d'approvisionnement. Le code est la base de code sont aujourd'hui au coeur de toute entreprise technologique, et même les équipes d'infrastructure n'y échappent plus depuis l'avènement de l'infrastructure as code. Mais alors quels sont les problèmes soulevés, quelles solutions y apporter et avec quels outils ?Dans cet épisode, j'ai le plaisir de recevoir Maya Kaczorowski. Maya est Product Manager et Software Supply Chain Security pour Github, aussi elle est particulièrement bien placée pour répondre à mes nombreuses questions sur la chaîne d'approvisionnement, l'open source, et la sécurité. Car, au cas où j'aurais oublié de le mentionner, dans toute cette histoire, il est aussi largement question d'open source, que nous pouvons maintenant sans crainte considérer comme une des pierres angulaires de tout système d'information. Vous voilà prévenus, c'est parti !Support the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Le DevOps et un mouvement et une pratique visant à l'unification du développement et de l'administration des systèmes. Sous cette définition simple en apparence se cache en réalité un monde d'inconnues, ce qui ne rend pas le mouvement facilement accessible. Qui doit y participer ? En quoi consiste cette unification ? Est-ce le rôle d'une personne, d'une équipe ou de tout une organisation. Comment mettre en place le DevOps et avec quels outils ?Pourtant, beaucoup d'entreprises ont dores et déjà adopté les concepts du DevOps, les ont mis en pratique et sont ressorties grandies de cette transformation, et plus à même de faire face aux challenges auxquels l'IT est confrontée aujourd'hui. Alors malgré le flou artistique que semble représenter le DevOps, par où commencer pour le mettre en place, et comment le structurer pour en retirer tous les bénéfices attendus ?Pour répondre à mes très nombreuses questions sur le sujet, je suis allé voir mon confrère podcaster Christophe Chaudier. Car Christophe n'est pas seulement un podcaster que j'apprécie particulièrement, il est aussi consultant DevOps et co-fondateur de Lydra, un collectif de consultants indépendants. Avec lui, je discute de la pratique du DevOps, de ses bénéfice, de sa culture et de ses enjeux.Notes de l'épisodeLes Compagnons du DevOps : https://lydra.fr/pourquoi-les-compagnons-du-devops/Radio Devops (le podcast) : https://lydra.fr/radio-devops/Le rêve du dragon : https://lydra.fr/rdo-8-comment-partager-et-diffuser-la-culture-devops/Les bénéfices du DevOps : https://lydra.fr/devops-cest-bien-beau-mais-on-y-gagne-quoi/L'egrégore : https://fr.wikipedia.org/wiki/%C3%89gr%C3%A9goreLe livre Découvrir DevOps : https://www.dunod.com/sciences-techniques/decouvrir-devops-essentiel-pour-tous-metiers-0The Phoenix Project : https://www.goodreads.com/book/show/17255186-the-phoenix-projectLa première formation DevOps de Christophe : https://www.compagnons-devops.fr/devops-mindsetSupport the show (https://www.patreon.com/electromonkeys)Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.