Les Cast Codeurs Podcast

Les Cast Codeurs font la clôture de Devoxx France 2022 en 🪑 et en 🦴. Enregistré le 22 avril 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–278.mp3 Interview La vidéo du direct Devoxx France qui est plus facile à suivre se trouve sur YouTube. Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Les Cast Codeurs passent au grill de Nicolas sur la chaîne TV Devoxx France. Nicolas nous rappelle des moments des 10 ans de Devoxx + Les Cast Codeurs. Enregistré le 17 mars 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–277.mp3 News Version vidéo Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Emmanuel, Guillaume et Antonio se réunissent pour discuter des nouvelles de ce début de printemps. On y parle retour de JavaOne, revue de pull request, de developpement cloud natif, de SLO, et de log. Enregistré le 25 mars 2022 Téléchargement de l’épisode LesCastCodeurs-Episode–276.mp3 News Langages Remplacer vos APIs de logging avec System.Logger Blog post rédigé suite à notre épisode 271 (où on avait cité System.Logger) Rapide histoire des APIs de log en Java Présentation de l'API System.Logger Formattage des messages basé sur java.text.MessageFormat Utilisation possible des ResourceBundle Niveaux TRACE, DEBUG, INFO, WARNING, ERROR (et non FINE, FINER, FINEST comme JUL) Le service System.LoggerFinder pour changer l'implémentation (JUG, Log4J, Logback, …) Etude de perf: Logback est plus performant, suivit de JUG puis Log4J2 Une série de petites librairies Java légères. Librairies simples, avec chacune une tâche unique, dont : parsing JSON parsing HTML / CSS client HTTP client mail resolveur de noms de paramètres de méthode des Properties améliorés un depdenceny-injection léger Java 18 est dans la place 400: UTF–8 by Default 408: Simple Web Server 413: Code Snippets in Java API Documentation un super guide sur l’utilisation des nouveaux javadoc code snippets 416: Reimplement Core Reflection with Method Handles 417: Vector API (Third Incubator) 418: Internet-Address Resolution SPI 419: Foreign Function & Memory API (Second Incubator) 420: Pattern Matching for switch (Second Preview) 421: Deprecate Finalization for Removal Librairies Micronaut 3.3 sorti, avec des nouveautés et Micronaut 3.4 aussi graalVM 22 binding par valeur d’annotations (CDI) Serialization (remplace Jackson, plus leger en memoire, ne fait pas de deserialisation arbitraire, pas de reflexion) module email qui permet d’envoyer avec MailJet, Amazom simple email service, SendGrid, Postmark Operateurs Kubernetes possibilité de référencer des beans properties dans @Requires injection de localized message sources nouveau module Micronaut Data MongoDB support de Maven pour Micronaut AOT Hibernate 6: certains points clés nouveau parseur HQL (langage plus riche) API nettoyées (donc ca va peut etre demander des migrations) DDL de meilleure qualité plus adaptée à la base de donnée cible requetes de type rapport (filter, rollup, cube, et les window functions arrivent bientot) arythmetique sur les dates index pour les colonnes (SQL plus compact et rapide) Kubernetes Service Discovery and Selection with Stork Quarkus 2.7 Stork 1.0 Quarkus CLI dans homebrew et SDKman extension pour le driver Oracle Reactif terminal interactif Infrastructure L’énergie utilisée dans les data centers est constante à 1 à 1,5% de l’énergie mondiale d’après l’agence internationale de l’énergie hors cryptocurrency augmentation a continué mais les efforts d’economies d’énergie ont compensé la croissance de la demande hors production du materiel je crois les alertes ont fait bougé les lignes études source Masanet et al - science et une autre de Malmodin 2020 dans science aussi Cloud Sondage annuel "The State Of Cloud Native Development" Sondage créé par Slash Data et soutenu par la CNCF Interrogent 19.000 développeurs sur : l'utilisation de Kubernetes, le Edge Computing, le Cloud Native, Containers et Orchestrateur Le nombre mondial de développeurs cloud native a augmenté au cours des 12 derniers mois de 0,3 million, pour atteindre 6,8 millions. Dans le même temps, la proportion de développeurs backend impliqués dans les technologies cloud native a diminué de 3 points de pourcentage, passant de 44 % à 41 %. Dans toutes les régions, l'Amérique du Nord (47 %) et l'Europe occidentale (46 %) affichent les taux d'adoption les plus élevés. Kubernetes est utilisé par 31% de tous les développeurs backend, ce qui représente une augmentation de 4 points de pourcentage au cours des 12 derniers mois. Actuellement, 5,6 millions de développeurs utilisent Kubernetes. Dans tous les secteurs, le Edge Computing a connu une croissance rapide de l'adoption de Kubernetes et présente désormais les taux d'utilisation les plus élevés des conteneurs et de Kubernetes. Parmi les développeurs spécialisés dans le Edge Computing, l'utilisation de Kubernetes a augmenté de 11 points au cours des 12 derniers mois, pour atteindre 63 %. L'architecture Serverless est également attrayante pour les développeurs Edge Computing : 48 % de tous les développeurs edge utilisent serverless, contre seulement 33 % de tous les développeurs backend. Parmi les outils serverless, AWS Lambda continue de jouer un rôle prépondérant. Cependant, Google Cloud Run a considérablement gagné du terrain au cours des 12 derniers mois. SLO et dependences de service 99,99 en cible interne, au dessus, il y a tant de variables entre l’utilisateur et le service que c’est perdu dans le bruit (wifi, ISP etc) 99,999 pour les infra globales disponibilité est fonction du MTTF et MTBR = MTTF/(MTTF+MTTR) si on veut offrir 99,99, toutes les dependances critiques doivent offrir beaucoup plus, regle du 9 supplementaire sinon il faut des mitigation, cache, fail open etc dispo depend du temps de detection et du temps de recuperation donc forcer les clients (services dependants) à baisser leur niuveau ou engineerer pour compenser le bas niveau du service dont on est dependant faire des scenarios (e.g. 1 outage majeur, 3 faibles - e.g. un shard, 5 de dependances) considerer que la perte d’un shard du service veut dire SLO is 1/nieme indisponible (n étant le numbre de shards) donc il reste peut de temps pour reagir quand on compte temps de detection, temps de paging, etc. error budget: 1-SLO, sur un mois et peut etre une fenetre glissante pour remonter graduellement. si budget depensé, on ne fait plus de mise en prod sauf critical security issues ou si c’est pour corriger les causes du probleme qui a consommé le budget rendre le plus de dependances non critiques (par exemple en éliminant les SPOF) faire revue d’architecture pour identifier ces dependances et leurs impacts appels a trois pools de serveurs indpendants et prendre le premier resultat dependences asynchrones peut reduire le nombre de dependancs critiques retours arriere rapide et automatisés: en enlevant un humaind e la boucle, on racourcit les temps de réponse et bien d’autres choses encore Architecture Les design patterns pour les systèmes distribués et donc les microservices survol et définitions des patterns qu’il faut connaître dans les microservices Pas trop dans le détail donc bon survol Idempotence, asynchronicite, helathcheck, feature flag, fallback Bulkhead: compartementalisation Metrics, monitoring, alarmes Rate limiting, backpressure, etc Méthodologies La pyramide des fondamentaux dans la revue de code codifie les points sur lesquels se concentrer sur la revue de code et ceux avec une priorité plus basse automatiser les points bas comment le style de code pour eviter de perdre du temps et de la frustration humaine Sécurité Removed unencrypted Git protocol and certain SSH keys nettoyage de printemps plus de git: qui est non sécurisé plus ne nouvelles clés RSA SHA1 plus de DSA de nouvelles courbes elliptiques Samsung utilise incorrectement la crypto rendant son enclave sécurisée, pas sécurisée l’article n’a pas les details techniques 100 m de telephones la meme clée était reutilisée (et pas encapsulée le vecteur d’initialisation pouvait être configuré et reutilisé à valeur unique n’importe quelle application pouvait essayer d’acceder aux secrets de l’enclave en essayant les conbos parce que l’application avait accès à ces paramêtres quand on reutilise les vacteurs d’initialisation, on peut faire un 1–1 entre le message clair et chiffré, ce qui permet de revenir a message clair si on produit le meme message cripté. https://knowledge-base.secureflag.com/vulnerabilities/broken_cryptography/reused_iv_key_pair_vulnerability.html Loi, société et organisation Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine Un développeur sabote son projet open source et paralyse des milliers d’applications Violation de RGPD par utilisation de Google fonts French privacy regulator rules against use of Google Analytics L’article de la CNIL VMWare, Red Hat et d’autres s’ajoutent aux sanction contre le gouvernement Russe en arretant la vente et les services pour les entités Russes et Belarusse Une Entrée en bourse pour Sonatype Conférences JavaOne à Las Vegas du 16 au 20 octobre 2022 Java language & platform, cloud-native development, database, microservices, DevOps, artificial intelligence & machine learning, security & application management, and more. Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Cet épisode est un échange entre Guillaume, Antonio, Emmanuel et Didier Girard sur les réflexions de Didier autour du darwinisme numérique. Cette troisième et dernière partie nous emmène sur les chemins des choix organisationnels que ces natifs du numérique à succès emploient. Enregistré le 17 février 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–275.mp3 Interview Ta vie ton oeuvre Twitter SFEIR Envision Modele organisationnel Sociocratie Holacratie Deck Netflix L'individu Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Cet épisode est un échange entre Guillaume, Antonio, Emmanuel et Didier Girard sur les réflexions de Didier autour du darwinisme numérique. Cette deuxième partie se concentre sur ce que veut dire le darwinisme numérique pour les entreprises et analyse les entreprises qui ont embrassé ses nouvelles contraintes ces vingt dernières années. En particulier, nous discutons de leur capacité d'adaptation comme principe fondamental et en filigrane de l'impact sur l'individu. On y invente aussi la notion d'équipe raclette. Comme souvent l'actualité nous a rattrapé. Cette interview a été enregistré quelques jours avant l'invasion de l'Ukraine par la Russie ce qui donne une couleur plus intense à la partie 1 de cette interview. Enregistré le 17 février 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–274.mp3 Interview Ta vie ton oeuvre Twitter SFEIR Envision L'entreprise Tech System organisationel Génération surdiplômée - les 20% qui transforment la France Les BATX L'individu Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Cet épisode est un échange entre Guillaume, Antonio, Emmanuel et Didier Girard sur les réflexions de Didier autour du darwinisme numérique. Cette première partie discute des axiomes de ce concept et de ses impacts sur les nations. On y échange sur la souveraineté et l'indépendance notamment. Enregistré le 17 février 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–273.mp3 Interview Ta vie ton oeuvre Twitter SFEIR Envision Le darwinisme numérique La nation Souveraineté et indépendance sur les ressources critiques Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Emmanuel et Arnaud reviennent sur la fameuse faille #log4shell qui a fait travailler beaucoup d'équipes Java en décembre et janvier. Enregistré le 11 février 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–272.mp3 Interview Quelle est cette vulnérabilité et pourquoi est-elle si dangereuse ? CVE–2021–44228 Reportée chez Apache le 24 Novembre, Enregistrée en CVE le 26 Nov Probablement connue depuis au moins Mars 2021: https://github.com/nice0e3/log4j_POC fix 2.15.0 le 10 décembre Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints. Severity CVSS de 10 sur 10 jamais vu Back to basics: C'est quoi JNDI? the JNDI features used in configurations, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints l'attaquant trouve une donnée utilisateur qui est loggée Pas que HTTP et injecte {JNDI:ldap pointant vers un ldap malicieux qui retour du code java sérialisé log4j deserialise et execute ce que l'on veut que log4j2-core pas api détail de Lunasec log4j zero day mitigations initiales CVE–2021–45046 2.16.0 (change des fonctionalités) le 13 décembre Apache Log4j2 Thread Context Lookup Pattern vulnerable to remote code execution in certain non-default configurations When the logging configuration uses a non-default Pattern Layout with a Context Lookup $${ctx:loginId}) attackers with control over Thread Context Map (MDC / Mapped Diagnostic Context) input data can craft malicious input data using a JNDI Lookup pattern donc on peut injected une chaine JNDI encore mais on doit savoir comment de la date utilisateur on peut pousser dans une Thread Context Map référencée par la config on alors l'attaquant a accès à la config et c'est game over Initialement on parlait de denial of services via une reference infinie probablement c'est une chemin qui n'était pas protégé des interpolations de messages et donc de l'accès JNDI CVE–2021–45105 fix dans 2.17.0 le 18 décembre recursion non controlée dans un lookup auto référentiel When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId} Besoin de l'attaquant control de Thread Context Map (peut etre une donnée injectée par un framework d'une entrée utilisateur changer la config log4j locale? CVE–2021–44832 2.17.1 le 27 décembre Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code. attaquant accede et modifie la config pas simple sauf si la plateforme permet la reconfiguration par un utilisateur??? log Google package analysis montre 8% de packages sur central affectés par log4j 2 niveau de dépendance transitive monte jusqu'à 9 du coup il y a neuf vendeurs qui doivent corriger leurs dépendances Toujours plus de 40% de téléchargement sur Maven central des versions impactées Log4j1 n'est pas en reste: JMSAppender JMS dit JNDI et paf on recommence JDBCAppender SQL injection FTW log4j1 n'est plus maintenue ah merde! Apache Kafka Reload4j de ceki 1.2.17 compatible voir les fixes Des exploitations ? Peu au final Car chaque usage de log4j est unique Entrée quoi est loggé etc Donc trop dur pour les script kiddies Mais dans les megasploits et autres toolkits d'attaque VMware vSphere et Hoirizon Ubiquity Solarwind etc Quel process suivre verifier la véracité de la CVE et comprendre ses vecteurs d'attaque identifier ses dépendances et donc ses soft impacté identifier les éléments fournis par l'utilisateur qui sont loggés définir le risque par software et par service appliquer le patch de sécurité et reconstruire le package déployer ou livrer chez les clients répéter pour les semaines à venir shading? :) Impact de l'industrie dans le futur La chine a tapé sur les doigts Alibaba qui n'a pas donné cette faille d'abord au gouvernement chinois The Gift of It's Your Problem Now Discussion sur le paiement et l'open source Pour un individuel l'open source est un cadeau, et donner de l'argent n'améliore pas le cadeau Injecter de la compensation financière dans un cadeau casse le cadeau et ne change pas la motivation (ou la casse) Pour une société, l'open source est un moyen de récupérer du feedback et du marketing, donc c'est une transaction et pas un cadeau Un autre article similaire burden open source maintainer colors faker mainteneur rajoute une boucle infinie dans un package modems très utilisé en protestation de non contribution (financière) 20 millions de téléchargements par semaine GitHub a bloqué son compte et nom a remis une ancienne version un peu de temps avant il s'est fait copié son idée de faker.js as a service Reflection on log4shell par diabolical developer marathon pas un sprint, on fatigue après 5 ou 6 jours a fond, donc faites des rotations comm sur le réseau, que regarder : Adding encryption, Auth/Auth, I sanitize data that goes over the wire, I sanitize input that could execute, DOS protection – backoff strategies and more. supply chain sécurisation and component governance OSS funding (hum?) Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Antonio, Guillaume et Emmanuel discutent 11, le 42 du rockeur, Quarkus, Java 17, limites de Kubernetes, #Y2k22, web3, Maven, Log4J, et et et cloud souverain. Enregistré le 14 janvier 2022 Téléchargement de l'épisode LesCastCodeurs-Episode–271.mp3 News Langages Quoi de neuf dans Java 18 de Loïc Mathieu Feature complete (mais encore des bugs) UTF–8 par défaut exemples de code dans la javadoc avec @snippet y compris des references a des fichiers extérieurs Simple Web Server pour des resources statiques (comme d'autres platformes comme Ruby ou Python je crois. En code ou via la commande jwebserver le mécanisme de finalisation proposé à la suppression --finalization=disabled pour tester. Celui-là il ne nous manquera pas ré-implementation de la réflection avec les MethodHandle Le calendrier de l'Avent Java 2021 a plein d'articles très intéressants pas tous révolutionnaires, mais c'est sympa RXJava vs Kotlin Coroutines Analyser votre repo Git en Java avec jgit Cinq choses que vous ne saviez pas sur la concurrence en Java l'ordre du programme et l'ordre d'exécution n'est pas le même, mais il est sémantiquement similaire le nombre de threads dans une JVM est limité (dépend de la machine) plus de threads ne veut pas dire plus de perfs Librairies Quarkus 2.5 et 2.6 sont sortis: API programmatique pour interagir avec le cache Kotlin 1.6 Java 17 par défaut pour les nouveaux projets générés des extensions ont bougé du core vers le quarkiverse hub, peut-être quelques impacts de migration images container plus petites en natif et compression UPX possible plus petit sur disque mais plus gros en memoire (pour la décompression) quarkus.native.compression.level de 1 à 10 dans le fichier de config dev service pour Oracvle DB Utiliser Neo4J pour analyser le chemin de code et pourquoi un bout de code est inclus en natif super utile pour les compilations natives quarkus.native.enable-reports pour avoir le rapport exploitable par neo4j SmallRye Stork service discovery et client side load balancing support pour Consul, Eureka, and Kubernetes extensible notamment pour le load balancing intégration avec Quarkus REST Client et gRPC dans la config stork://hello-service Infrastructure Pourquoi et comment de la taille des containers Kubernetes quand on ne partage pas, inefficient mais sécurisé Avec des VM, on peut overcommitter des resources sur l'hyperviseur mais risque sur mésentente Ne remplace pas le capacity planning Containers définissent des filtrages plus fins et tuent les process qui dépassent Discussion cpu_share (proportion en balance), cpu quota, cpu period pour définir les limites basses et hautes mais si ça reste statique par host c'est pas très pratique Orchestration de container via Kubernetes (request = min, limit = max) Kube donne au minimum request mais peut donner plus si le noeud n'est pas occupé à 100% Attention, la partie libre n'est pas distribuée équitablement mais en proportion du ratio de request demandé vs les autres. Donc les containers avec des grosses request sont privilégiés. Donc mettre limit est important Donc jouer le jeu request et monitored pour ajuster à la baisse si nécessaire. Tous les workloads doivent jouer le jeu. Kubernetes QoS (best effort , burstable et guaranteed) utilisé lorsque on tourne bas en mémoire (pas en cpu !) Discussion de la sélection du noeud (selector, affinity, taints and tolerations ou isolation/ restriction) pour isoler des qualités de service ou prédictabilité, pour la sécurité etc ) besoins mémoire : si utilisation max, pod killed. Besoins CPU : si utilisation max, on est throttled -> slow Mettre mémoire request = limit sauf si le process peut rendre de la mémoire (pas fait avant java 11) CPU request = limit si la prédictabilité de l'application est très important. Etudier conso CPU de l'appli en percentile et targeted par exemple une garantie à 99% ou 90 ou moins si pas sensible Article ne parle pas du scale out Exchange 2016 et 2019 souffrent du bug de l'an 2022 Y2K22 Après Matrix et son opus Resurection, Microsoft relance le bug de l'an 2000, 22 ans après, Y2k22 dans Exchange server 2016 et 2019 et d'autres systems non microsoft pour Exchange c'est du au systeme de scan d'antivirus qui ne reconnaissait pas les dates des signatures de virus 22010100001 parce que le software stocke les dates dans un entier signé 2^31-1=2147483647 et la date est stockée sur les deux premiers chiffres. le workaround initial est assez marrant, le software considère qu'on est le 33 décembre 2021 2112330001 Web Moxy de Signal (ex) discute web3 web1 était décentralisé, web2 est riche mais centralisé, web3 sera riche et décentralisé problème: les gens n'aiment pas faire tourner leurs propres serveurs et ne l'aimeront jamais même les entreprises ne font plus tourner leurs serveurs un protocole (standard) bouge beaucoup plus lentement qu'une plateforme exemple Spring, exemple Quarkus vs Microprofile ou Jakarka EE puis discute blockchain et NFT l'état et la logique / les permissions pour mettre a jour sont décentralisées mais pas l'interface avec l'utilisateur blockchain est une confiance entre serveurs plus qu'entre clients avec le mobile, les clients ne peuvent pas acter en tant que server (voir Bitcoin) donc des gens vendent des accès centralisés aux noeuds de la blockchain et les clients de ses APIs ont une confiance implicite (et pas par le système) et centralisation des accès et donc mining de ces informations NFTs stockent l'URL de l'objet (sans hash) donc pas sécurisé sans parler du rachat de domaine il a fait un NFT qui se change en émoji caca pour celui qui l'a acheté et il s'est fait virer son NFT ET sa preuve de possession mais c'est une blockchain ??? sauf que le wallet passe par des fournisseurs centralisés pour faire web3, les gens se concentrent autour de plateformes, un comportement tres web2 donc la blockchain et NFT ont du succès pas parce que c'est distribué mais parce que c'est un gold rush la dynamique rend les projets web3 successful mais fondamentalement les mêmes dynamiques vont les centraliser propositions accepter que les gens ne font pas tourner leur serveurs et utiliser la crypto pour distribuer la confiance Outillage Maven 3 à 5 une explication le POM est figé parce c'est ce que publie maven central, donc maven 3 ne fera que des améliorations mineures Maven 5 la proposition: avoir un POM de build (v5) et produire un POM de consommation en v4, comme les autres systèmes de builds font Maven 4 va faire la meme séparation mais en faisant un POM v4 build to PO)M v4 consumer conversion en étape intermédiaire maven 4 alpha 1 se rapproche, il attend juste des contributions de @aheritier blog de Hervé Boutemy Maven Wrapper (ex takari) est désormais un projet officiel apache maven : https://maven.apache.org/wrapper/maven-wrapper-plugin/ idem pour Maven Daemon https://github.com/apache/maven-mvnd Le maven Build Cache arrive : https://github.com/apache/maven-build-cache-extension Sécurité Comme prévu, la saga log4j continue avec Log4j 2.17 et 2.17.1 avec l'augmentation de la visibilité, plus de problèmes vont être trouvés Log4J 2.17 corrige un appel récursif infini exploitable en déni de service. Besoin d'avoir un pattern non standard dans la config (utilisant les context lookup) et un accès au Thread Context Map par l'attaquant (5.9) https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45105 Log4J 2.17.1 fixe un abus du JDBCAppender qui peut référencer une URL JNDI et executer du code a distance mais l'attaquant doit pouvoir modifier la configuration de log4j (6.6) https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44832 doit-on quitter le navire ? équilibre entre fonctionnalités et sécurité on fera un épisode spécial log4Shell bientôt H2 vulnérable à une attaque JNDI fondamentalement comme log4shell Mais exploitable pour ceux qui passent une url ou un login mot de passe via des infos utilisateur Par exemple h2 console Mais localhost par défaut Sauf dans jhipster Loi, société et organisation Tribune de Didier Girard sur le cloud souverain investissement de 1,8 milliards sur 4 ans dans le cloud français sur 4 ans. C'est moins que chaque grand cloud provider par an consortiums européens mais mauvaise histoire CloudWatt, Gaia-x et ses problèmes de gouvernance initiative Soutenu par la dépense publique Cloud de confiance est un moyen pour Didier du transfert technologique et de casser l'asymétrie de compétence et d'investissement Ça répond pas aux problèmes clés levés par Quentin dans l'interview La Maison Blanche demande à Oracle et Microsoft de réfléchir à la sécurisation des logiciels libres Outils de l'épisode Rambox en general je préfère les applis natives pour chaque service Mais avec les messageries instantanées c'est la chianlie Et il y a les apps qui sont des tabs dans le navigateur (Trello, Gmail, calendar etc) Là tout est centralisé dans une seule app (notifications etc) C'est comme un mini browser dédié avec des sites webs fixes Et contre toute attente j'aime bien Version gratuite et version pro. Encore des limitations (vue de deux apps en parallèle) mais ils travaillent à une nouvelle version Conférences Sunny Tech à Montpellier le 30 juin et 1er juillet — CfP ouvert jusqu'au 28 février Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Nicolas De Loof rejoint Emmanuel et Antonio pour discuter de Docker Compose. Enregistré le 17 décembre 2021 Téléchargement de l'épisode LesCastCodeurs-Episode–270.mp3 Interview Ta vie ton oeuvre Nicolas De Loof Introduction à la techno Docker en 1 minute Docker compose d'où vient l'idée et le besoin La techno en concepts Un container c'est quoi ? Ça tourne comment ? Du coup, on veut en faire tourner plusieurs Comment on les "lie"? Network autre chose? Mais c'est pas le job de Kubernetes? deploy scaling rollback La spécification Discussion sur les notions: service build label network sécurité (cap_add) docker-compose vs docker compose Comment on l'utilise en pratique pour un dev Comment je définie mon multi container Lien vers des dockerfiles? Echange d'infos (e.g. DB connection ou mot de passe entre DB et l'appli) Ma DB doit démarrer avant mon app Ca fait les health check? Je commite ce fichier où typoiquement ? comment je partage avec mon équipe ? Et ma CI ? Comment je mets en prod ? Je mets en prod hein, ça marche sur ma machine. v2 vs v3 Sous le capot Et donc comment ça marche docker compose? Zoom sur le network La sécurité La communauté, le futur Roadmap Docker desktop payant Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/

Antonio et Guillaume discutent de nouvelle crèmerie, des fêtes de fin d'années, des cadeaux du père Noël, et… de log4j, le feuilleton de fin d'année ! Enregistré le 20 décembre 2021 Téléchargement de l'épisode LesCastCodeurs-Episode–269.mp3 News Décès de Stéphane Maldini (14 Dec 2021) Une triste nouvelle pour commencer l'épisode avec l'annonce du décès soudain de Stéphane Maldini Un acteur de l'écosystème Grails à la fin des années 2000, gràce à de nombreux plugins Mais plus connu pour avoir co-fondé le project Reactor, et popularisé le Reactive Programming au sein de la communauté Java Egalement à l'origine de R2DBC pour rendre l'accès aux bases de données plus réactif Après de nombreuses années chez Pivotal, il avait rejoint plus récemment Netflix, et c'est peut-être en partie grâce à lui que vous pouviez matter plein de séries ! CloudBees clot un tour de table de 150 millions de dollars valorisant l'entreprise à 1 milliards de dollars Le feuilleton Log4J2 (9 Dec 2021) Grosse faille de sécurité liée à l'utilisation des versions Découverte par un chercheur en sécurité d'Alibaba Cloud Détails publiés par LunaSec Log4J2 permet de faire de l'interpollation de texte en remplaçant des parties variables d'un message à logguer Hors il est possible d'ajouter des appels à des informations JNDI provenant d'un serveur LDAP Un serveur LDAP peut retourner une classe compilée que JNDI va executer en local lorsque Log4J2 va vouloir insérer l'information JNDI Donc potentiellement, la classe distante executée localement pourra exfiltrer des données, avoir accès aux processus qui tournent, etc. Log4J2 a été patché rapidement, mais d'autres failles sont apparues Différentes stratégies de mitigations ont été publiées Snyk a publié une "cheat sheet" pour remédier à la faille Langages Kotlin à l'assaut du K2 avec son nouveau compilo (11 Nov 2021) Lors de sa conférence Kotlin 2021 Premier annoncent des nouveautés autour du langage Le nouveau compilateur plus rapide K2 qui sert dorénavant de base pour toutes les plateformes cibles supportées qui apporte une nouvelle API pour créer des extensions au compilateur utilise un langage intermediaire (IR) au lieu de compiler directement en natif avec un nouveau frontal avec sa propre représentation intermédiaire qui permet de simplifier la compréhension du langage dans les IDEs, pour désugariser le sucre syntaxique rapidité accrue potentiellement jusqu'à 2 fois Le support de WebAssembly avec Kotlin/WASM Kotlin/JS continue d'exister, pour des applis Web, pour l'intégration JavaScript mais Kotlin/WASM apporte le support natif de WebAssmbly Kover, un nouveau plugin de couverture de code pour Kotlin/JVM, utilisable avec un plugin Gradle, compatible avec JaCoCo Le Kotlin Symbol Processor, KSP, drivé par Google, est maintenant stable, plus rapide, plus ergonomique d'utilisation (remplace Kapt) Groovy 4, on y est presque ! Sortie de la release candidate de Groovy 4, la finale est proche ! Changement des coordonnées Maven pour passer à org.apache.groovy (bye bye Codehaus) Suppression de vieilles coordonnées de packages ou classes mal-situées, à cause des modules Java (XmlSlurper, XmlParser, AntBuilder, GroovyTestCase) Le module groovy-yaml est rajouté au pom groovy-all et le module groovy-testng devient optionel Le vieux parseur basé sur Antlr2 est supprimé, et le parseur ("parrot") introduit dans Groovy 3 reste le seul parseur Le bytecode généré n'utilise plus que l'instruction invokeDynamic partout où c'est possible Support des expressions switch Support des sealed types Incubation du support des records Inclusion de type-checkers, par exemple avec le premier pour valider les expressions régulières à la compilation Inclusion de macro pour faciliter le débuggage Intégration de JavaShell dans la console Groovy pour facilier les expérimentations cross language Nouvelle annotation @POJO pour créer des POJO Java, sans la surchage de bytecode spécifique à Groovy (pratique pour la compilation statique) Incubation de design by contract avec l'intégration de l'ancien module gcontracts GINQ (Groovy Integrated Query) qui propose un langage proche de SQL, similaire à LINQ en .Net, pour facilier le travail avec les collections Incubation du support pour le langage de configuration TOML Trisha Gee partage ses nouvelles Java annotés pour le mois de Décembre (3 Dec 2021) Librairies Nouvelle paire de bottes 2.6 pour Spring Boot (19 Nov 2021) Support des attributs SameSite sur les cookies de session cookies pour les applications à base de servlet Support pour configurer les health groups sur le port principal ou de management Amélioration du endpoint /info avec des infos sur le runtime Java Support pour tester les applis Spring MVC en utilisant WebTestClient Auto-configuration de spring-rabbit-stream Support pour des règles personnalisées de nettoyage/filtrage des propriétés dans /env et configprops Micronaut 3.2 (23 Nov 2021) Nouvelle version de Micronaut Passage de GraalVM à la version 21.3 avec le support de JDK 17 (il faut maintenant développer a minima avec la distribution GraalVM JDK 11 et non plus 8) Version 3 du plugin GraalVM pour Gradle Support de Kotlin 1.6 Fonctionnalités HTTP Annotation @JsonView sur les paramètres annotés @Body Timeout configurable pour le handshake SSL Support amélioré du server push HTTP/2 pour envoyer les resources en parallèle Amélioration WebSocket avec le paramètre WebSocketPongMessage pour l'annotation @OnMessage pour répondre au Ping des WebSockets Support du protocole WS/WSS des WebSockets Différentes mises à jour des modules fonctionnels (Data, Security, Reactive, OpenAPI, Kubernetes, ElasticSearch) Cédric Champeau compare Gradle et Maven niveau composition et héritage (1 Dec 2021) Gradle et Maven prennent l'approche de "convention over configuration" Couvre les approches différentes entre Gradle et Maven : Maven prends une approche plutôt héritage, tandis que Gradle l'approche compisition Les plugins Gradle sont plus faciles à maintenir grâce à la composition et permet de créer ses propres convetions Infrastructure GitHub collabore à la sécurité des packages NPM (15 Nov 2021) GitHub est un des stewards du registre des packages NPM GitHub partage des détails sur les incidents de sécurités récents malware injectés récemment dans ua-parser-js, coa, et rc car un tiers avait réussit à usurper le compte d'un contributeur temporairement, les packages privées étaient potentiellement découvrables sur le réplicats de npmjs.com une faille qui a été découverte grâce à un bug bounty qui permettait de publier des versions de certains modules avec des comptes mal-sécurisés GitHub investit dans la sécurité, en particulier en rendant obligatoire la 2-factor-authentication pour les administrateurs et admins des packages les plus populaires hébergés sur GitHub, en rajoutant de la détection de malware automatique Jérôme Petazzoni et les anti-patterns Docker (30 Nov 2021) Jérôme partage une liste d'anti-patterns qu'il voit fréquemment quand il aide les gens à construire leurs images de conteneur Parmi les anti-patterns : les trop grosses images, comment les optimiser, comment monter des voluments plutôt que d'inclure de gros dataset dans l'image les trop petites images, mais attention car parfois on ne peut pas investiguer plus finement ce qui s'y passe utilisation de zip et tar, mieux vaut éviter de compresser pour ne pas utiliser trop de CPU ou d'espace dans l'image re-builder les bases communes : autant mettre l'image de base dans un registry, plutôt que de la re-construire à chaque fois construire l'image à partir d'un monorépo géant et comment organiser ses sources et la localisation de son Dockerfile avec chaque projet ne pas utiliser BuildKit avoir besoin de rebuilder pour chaque changement minime utiliser des scripts customs au lieu des outils existants comme Compose, Skaffold, Tilt et faire ses propres sh obliger les gens à faire tourner certaines choses dans des conteneurs alors que ça peut très bien tourner en local sur la machine du développeur utilisation d'outil trop complexes, autant utiliser des outils appropriés conflit de noms entre scripts et images builder dans des Dockerfiles Cloud Le runtime Java pour Google App Engine en Open Source (16 Dec 2021) Toujours dans un esprit d'ouverture pour éviter le lock-in, Ludovic Champenois qui dirige le runtime Java de Google App Engine Java a open sourcé les sources du runtime, du SDK. Azure : comment les développeurs migrent leurs applis Spring Boot dans le Cloud (2 Dec 2021) Cible en majorité Kubernetes, 2x plus que sur des VMs Challenges spécifiques Spring rencontrés Passer d'un monolith à une version cloud-friendly Migrer d'anciennes versions des composants Spring Cloud Migrer d'anciennes versions de Spring Boot Migrer de servelets vers Boot Migration de Java vers Spring Boot Java vers Boot Java EE vers Boot Spring Framework vers Spring Boot Mainframe vers Spring Challenges spécifiques au Cloud Migration de base de données Monitoring end-to-end Outils d'APM les plus fréquents Outils du provider cloud Prometheus Dynatrace AppDynamics End-to-End monitoring Splunk Elastic Outil du provider cloud Composants Spring les plus fréquemment utilisés Spring Cloud Config Server Spring Cloud Gateway Spring Cloud Service Registry Spring Cloud Load Balancer Spring Cloud Circuit Breaker (Resilience4J) Web CSS défensif (7 Dec 2021) Ahmad Shadeed partage de bonnes pratiques CSS, comment écrire du CSS propre, sans comportement bizarroïde suivant les navigateurs, ou qui répond bien de manière responsive Avec des exemples sur l'utilisation de Flexbox, de l'espacement, la gestion du contenu long (et donc du clipping), de l'apparence des images suivant la taille de la fenêtre, les média queries en vertical, le texte au-dessus des images, la gestion des scrollbars. Le custom CSS Reset de Josh Comeau (23 Nov 2021) Josh Comeau partage une nouvelle version de CSS Reset, non-opionated pour ce qui est design et cosmétique, mais qui prends certains partis pris (par exemple de l'italique reste italique) Couvre en détail chaque aspect : le box-sizing, les marges par défaut, la hauteur de ligne, des hauteurs basées sur les pourcentages, rendre les polices antialiasées, le word wrapping pour la gestion du retour à la ligne Google Fonts propose des articles sur l'utilisation des polices de caractères (7 Dec 2021) Elliot Jay Stocks a participé à la base de connaissance et d'articles du Google Fonts Knowledge Introduction à la typographie, comment choisir une bonne taille d'interligne, comprendre les mesures des caractères et des lignes Comment choisir une typographie et une police de caractères Un glossaire sur les termes relatifs aux polices de caractères, à la typographie Outillage JetBrains annonce Fleet un nouvel IDE (29 Nov 2021) Developpé from scratch Basé sur l'experience de 20 ans à developer des IDEs Fleet utilise le code-processing d'IntelliJ (polyglot) Nouvelle interface graphique Basé sur la librairie graphique 2D Skia (utilisée dans Chrome, Flutter, Android, Firefox…) Rapide et léger (démarre en quelques secondes) Architecture distribuée (tourne sur le PC, remote PC, dans le Cloud) Early Preview, pas encore accessible publiquement à tout le monde Mac: display_manager et Rectangle (29 Nov 2021) display_manager permet de scripter en ligne de commande la configuration des résolutions des écrans (interne ou externe), de changer la luminositer, la densité de pixel, la fréquence de raffraichissement Rectangle : cette petite application propose des raccourcis clavier pour positionner et retailler les fenêtres, pour les mettre rapidement en plein écran, à gauche/à droite, en quart, en tiers Hammerspoon qui permet d'automatiser mac OS, en rajoutant des raccourcis clavier, en réagissant à des événements comme le branchement d'un appareil sur un port USB, le fait de rejoindre un réseau Wifi Loi, société et organisation Un document du FBI liste les données des messageries chiffrées pouvant être récupérées (30 Nov 2021) Même si le contenu des messages n'est pas récupérable, des informations de type méta-données peuvent l'être (date de dernière connection ou de création du compte, avatar, clé publique ou token, nombre de messages postés) Conférences Devoxx France du 20 au 22 avril 2021 SunnyTech les 30 juin et 1er juillet 2022 à Montpellier Nous contacter Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Faire un crowdcast ou une crowdquestion Contactez-nous via twitter https://twitter.com/lescastcodeurs sur le groupe Google https://groups.google.com/group/lescastcodeurs ou sur le site web https://lescastcodeurs.com/