L'annonce est aussi abrupte qu'inattendue : Qualcomm annule purement et simplement son Snapdragon Dev Kit. Il s'agit d'un mini-PC pour les développeurs. Microsoft avait proposé le même genre d'ordinateur ARM, mais cela n'a malheureusement pas eu de suite non plus. Cette annonce est tout de même très décevante surtout de la part d'un géant technologique tel que Qualcomm. 

Le constructeur prétexte une qualité insuffisante au regard des attentes des équipes. Qualcomm évoque une pause de la production et du support... indéfiniment. Les précommandes seront annulées et remboursées. 

Il est incompréhensible que ni Qualcomm, ni Microsoft ne peuvent produire un matériel accessible pour sensibiliser les développeurs à l'architecture ARM. Apple avait proposé un Mac Mini spécifique quelques mois avant la sortie des premiers processeurs M1. 

Durant Les Assises de la sécurité 2024 de Monaco, une session de l’éditeur Vade se focalisait les malwares et notamment sur les groupes de hackers derrières ces attaques. L’aspect le plus intéressant de la présentation fut de comprendre qu’il y a un seul type de malware mais plusieurs, et surtout la topographie des hackers à l’origine de ces attaques est diverse.

Cette diversité est importante car les liens avec certains Etats ou encore les objectifs diffèrent parfois radicalement. Certains groupes communiquent à tout-va, d’autres sont particulièrement discrets. Bref, il faut comprendre les personnes, les types d’attaques utilisés et les objectifs. 

Par exemple, Fancy Bear est un un groupe actif, ayant des liens avec le GRU (Russie). Il adore le 0-day, le phishing, et le malware. Les objectifs sont divers : espionnage, sabotage d’infrastructures (par exemple, un complexe énergétique), et propagande. Lazarus, groupe clairement lié à la Corée du Nord, fait du sabotage et de l’espionnage. Le gain financier est sa principale motivation. 

Anonymous Sudan est un groupe qui aime parler et communiquer. Ils ont plutôt un rôle d’hacktiviste et de déstabilisation avec une attaque favorite, le DDoS. Beaucoup plus discret, nous trouvons le groupe TA-577. Il oeuvre depuis 2020 mais les liens sont peu clairs. Ce groupe a la caractéristique de changer de techniques d’attaque quand cela est nécessaire, ce qui n’est pas toujours le cas dans ce domaine.

TA-577 fait le gain financier un objectif mais sa principale activité est de récupérer les accès d’ordinateurs et de réseaux pour les revendre. C’est moins visible mais tout aussi redoutable. Ces accès servent souvent à faire du minage illicite. Une des spécialités du groupe est de faire du hijacking de mails. C’est-à-dire : détourner un mail officiel / licite, le « copier » pour introduire des URL illicites ou encore utiliser des failles dans des plugins WordPress. Ils sont particulièrement experts en scripts de redirection. Pour brouiller les pistes et tromper les scanneurs et outils de sécurité, le groupe utilise une double redirection pour effacer les traces. Cette technique cache une URL finale illicite derrière une URL normale… Au final, le but est de pouvoir installer en « silence » un malware loader. 

Autre attaque menée par un groupe ou plusieurs, son origine reste obscure, c’est le paste jacking. Cette attaque, particulièrement sournoise, est utilisée pour installer des malwares de type Darkgate. Le paste jacking, comme son nom nous l’indique, utilise le copier-coller et surtout le presse-papier. Par exemple, on utilise souvent le copier-coller pour une chaîne de connexion, un mot de passe très long ou encore pour un ID de cryptomonnaie. 

Le paste jacking se cache souvent derrière un phishing. Par exemple : demander d’installer un (faux) plug-ins ou une (fausse) mise à jour ou d’ouvrir un (faux) PDF ou document bureautique. La procédure demande d’exécuter une suite d’instructions que l’on copie-colle et c’est là que le paste jacking intervient car en réalité le malware est présent dans le script. Plus sournois encore, un fichier PDF semble provoquer une erreur, un script caché va s’exécuter si l’utilisateur clic sur un des boutons de l’erreur. Ce script peut prendre la forme d’un script PowerShell. Pour masquer la réalité du script, les hackers passent par un encodage base64. Seul le décodage de la base64 pourra révéler la réalité. 

Les instructions peuvent charger discrètement un malware de type Darkgate en utilisant par exemple un autoit, créer un fichier HTA qui sera obfusqué pour ralentir la détection… Comme le disait Vade durant la présentation, il existe une multitude de variante mais la base de l’attaque reste la même.

Spyder IDE est un IDE Python dédié avant tout aux scientifiques. La version 6 est sortie début septembre et la 6.0.1 est disponible pour corriger et améliorer la v6.

Spyder IDE 6 a été un énorme effort pour la communauté  : 2 ans de travail, plus de 2 600 commits et plus de 20 développeurs. Vous pouvez installer la version directement depuis le site officiel ou via Conda, Pip, WinPython, etc. 

Cette version apporte :

- une meilleure connexion distante

- nouveaux installeurs basés sur Conda

- un meilleur Debugger

- gestion des plugins depuis les préférences

- personnalisation de la police de l'interface

- support du chinois, japonais et coréens en sortie sur la version Linux

- support expérimental de Qt 6

- nouveautés sur l'éditeur : changement rapide entre l'éditeur et les fichiers ouverts, possibilité de copier les chemins relatifs et absolus dans le fichier courant, meilleure réactivité dans les changements du système de fichiers

- console IPython : redémarrage du Kernek plus rapide, nouveau menu pour démarrer une nouvelle console en environnement Conda, Pyenv

Note release : https://www.spyder-ide.org/blog/release-spyder-6.0.0/

MongoDB annonce la disponibilité de la version 8.0. Cette version est disponible via MongoDB Atlas, Enterprise Advanced. La version communautaire est aussi disponible en 8.0. L'éditeur met en avant les éléments suivants :

• Une amélioration du débit global jusqu'à 32% et une accélération des agrégations de données de séries temporelles de plus de 200%
• Une distribution des données jusqu'à 50 fois plus rapide et une réduction de 50% des coûts des clusters single-shard
• Des fonctionnalités élargies de Queryable Encryption pour une protection complète des données
• De nouvelles optimisations pour les applications vectorielles permettant de réduire la consommation mémoire de 73% à 96%

Plus de 45 évolutions et améliorations sont listées sur la sécurité, l'architecture, l'optimisation et la disponibilité. La v8 promet de réduire la charge mémoire tout en amélioration les performances des requêtes. Pour la partie sécurité, la nouveauté majeure est sans doute MongoDB Queryable Encryption. Elle permet de chiffrer toutes les données critiques de manière randomisées dans la base. Et les requêtes sont capables de s'exécuter sur ces données chiffrées. Autre amélioration : l'architecture sharding devrait booster les performances tout en réduisant les ressources nécessaires. Pour faire simple, le sharding c'est : "MongoDB permet une mise à l’échelle horizontale grâce à un processus appelé sharding. Le sharding permet de diviser les données d’un grand ensemble de données et de les répartir sur plusieurs serveurs. Si un serveur ne peut pas gérer une charge importante de données, celles-ci peuvent être automatiquement divisées et distribuées sans interrompre le traitement."

On notera aussi :

- une nouvelle queue Ingress

- possibilité de déplacer une collection dans un shard différent avec commande moveCollection. Et vous avez aussi la possibilité de rendre non shardée une collection shardée

- nouvelles commandes et nouvelles méthodes dans la base de données

- nouvelles métriques dans la partie réplication

Attention : la 8.0.1 est disponible. Elle fixe les premiers bugs connus. 

La note de version complète : https://www.mongodb.com/docs/manual/release-notes/8.0/

GitLab adapte le mode sombre avec une nouvelle ergonomie pour améliorer son utilisation et le confort au quotidien. L'éditeur dévoile une préversion de la future évolution. Si le mode sombre est devenu une fonctionnalité de base, il faut l'améliorer et prendre en compte les commentaires des développeurs. Un des problèmes récurrents est le manque de visibilité de certains éléments d'interface ou même du code. 

GitLab a proposé une première version du dark mode dès 2020. Depuis, les équipes proposent une sorte de guidelines sur le sujet : Dark UI for GitLab's Web IDE. Plusieurs principes sont cités :

- les éléments au premier plan doivent être plus clairs et ceux en arrière plus sombres. Ainsi une "profondeur" est créée et cela permet de distinguer les plans et les éléments. Avoir des éléments d'interfaces de même consistance perturbent la compréhension de l'interface et donc son usage 

- réduire la saturation des couleurs : les couleurs ressortent naturellement en dark mode. En effet, sur un fond sombre, les couleurs "sautent" aux yeux. Mais attention à ne pas multiplier les couleurs ni les fonds de couleurs. Vous aurez alors un effet "sapin de Noël" rendant l'interface visuellement agressive et moins ergonomique. Il faut donc réduire le nombre de couleurs et penser à l'endroit où il faut accenter tel élément, tel texte

- atténuer les effets et ne pas utiliser le principe de l'inversé. Inverser les couleurs sur un objet (par exemple un label et le fond d'un bouton) peut rendre l'objet illisible

Une réflexion particulièrement instructive : https://about.gitlab.com/blog/2024/10/15/gitlab-dark-mode-is-getting-a-new-look/

NVIDIA NIM fait parti de la palteforme AI Enterprise du fondeur. NIM se composent de conteneurs dédiés à l'inférence en s'appuyant sur l'accélération GPU et une architecture microservices. NIM peut s'exécuter sur le cloud, un datacenter et les stations de travail. Il expose des API pour faciliter son intégration. Il inclut aussi TensorRT et TensorRT-LLM. 

Google annonce le support de NIM dans sa plateforme Google Kubernetes Engine (GKE). La solution est accessible via Google Cloud Marketplace et le déploiement se fait via la console Google Cloud. Les derniers LLM sont disponibles sur NIM tels que les derniers Llama, Mistral. 

Annonce : https://cloud.google.com/blog/products/containers-kubernetes/nvidia-nims-are-available-on-gke/?hl=en

Dans une architecture distribuée, étant donné que les microservices évoluent indépendamment, il est nécessaire de pouvoir suivre le parcours d'une requête entièrement. Cependant, en cas d'erreur dans les communications, le suivi de la requête devient fastidueux voire impossible en utilisant les techniques traditionnelles.

Nous devons être en mesure d'observer le système afin d'anticiper les problèmes qui pourraient engendrer des pannes du système. La collecte, le traitement et la transmission des données télémétriques deviennent donc primordiales pour répondre à ce besoin, en s'appuyant sur le framework OpenTelemetry. Au cours de cette conférence, nous verrons les principes fondamentaux de OpenTelemetry, ainsi qu'un exemple d'implémentation dans un projet en PHP.

Présentation : Danielle KAYUMBI (Capgemini)

Meetup du magazine Programmez! www.programmez.com

Meetup #44 du 1er octobre 2024. Merci à notre partenaire Capgemini

VLC revient sur Android en version 3.6.0. Cette version est disponible en bêta après plusieurs mois d'attente. La principale nouveauté est l'accès distant via une URL. Il sera alors possible de naviger dans les contenus, de partager des fichiers, etc. La sécurité n'est pas négligée : le serveur sera accessible une seule fois avec le mot de passe fourni par l'app VLC. Tous les détails sont expliqués ici : https://docs.videolan.me/vlc-user/android/3.X/en/more/remoteaccess/remote_access_ssl.html

Quelques autres changements : quelques bugs corrigés, nouveaux paramètres pour Android Auto, meilleure stabilité de l'app, amélioration de l'interface. 

Annonce : https://dev.to/npomepuy/vlc-for-android-360-beta-11n4

Loin de vouloir apaiser la situation, WordPress.org continue sa guerre ouverte contre WP Engine. Dernier événement en date : WordPress.org forke purement et simplement un plug-in ultra populaire, Advanced Custom Fields. Wordpress.org impose son propre plug-in Secure Custom Fields et retire, de force, ACF de la plateforme... Mullenweg invoque l'article 18 sur les répertoires des plugins et un problème de sécurité pour justifier l'interdiction et le fork. Il évoque aussi le fait que ACF n'est pas assez sécurisé et que WP Engine n'a pas les moyens de le faire...

Le projet ACF, appartenant à WP Engine, a immédiatement réagi en dénonçant un retrait unilatéral sans que le créateur du plugin donne son accord. Cela ne perturbera pas le fonctionnement des sites WordPress même si en cas de mise à jour automatique, ACF est remplacé par SCF...

Le créateur de Ruby on Rails a renouvellé ses critiques sur le comportement anti-open source de Mullenweg.

Une fois de plus, la situation pénalise les développeurs et Wordpress.org les force à utiliser un plugin sans demander leur avis. Nous sommes loin de l'esprit open source.

Comment exécuter directement un binaire C sur un navigateur ? Syrus Akbary publie un post décrivant cette possibilité tout en explorant les capacités du SDK Wasmer JS. Wasmer permet justement d'exécuter du code C compilé (clang) via JavaScript ou tout navigateur compatible WebAssembly. 

Il faut au prélable installer wasmer et compiler le code pour wasm. La compilation se fait avec WASI et WASIX. Le support de clang dans Wasmer pèse environ 100 Mo. Les équipes Wasmer travaille à diviser par 3 ce poids. 

L'utilisation de clang dans son projet JS est possible avec par exemple le Wasmer JS SDK, par exemple :

import {
  init,
  Wasmer,
  Directory
} from "https://unpkg.com/@wasmer/sdk@latest/dist/index.mjs";

await init();

const clang = await Wasmer.fromRegistry("clang/clang");

const project = new Directory();

await project.writeFile("example.c",

`#include<stdio.h>

int main() {

  printf("Hello World");

  return 0;

}

`);

let instance = await clang.entrypoint.run({

  args: ["/project/example.c", "-o", "/project/example.wasm"],

  mount: { "/project": project },

});

const output = await instance.wait();

if (!output.ok) {

  throw new Error(`Clang failed. Exit: ${output.code}:`);

}

// The generated wasm file from clang

let wasm = await project.readFile("example.wasm");

const example = await Wasmer.fromFile(wasm);

const result = await example.entrypoint.run();

const outputExample = await result.wait();

// This should be "Hello World"

console.log(outputExample.stdout);

Pour découvrir le post complet : https://wasmer.io/posts/clang-in-browser

Visual Studio Code et Python n'en finissent plus d'étendre les possibilités. Il y a quelques semaines, une extension était annoncée : Python Data Science Extension Pack. Ce pack regroupe Python, Jupyter, Copilot et Data Wrangler. Data Wrangler est un outil de visualisation de données et pour nettoyer les données. Bref, ce pack est dédié à celles et ceux qui manipulent les données pour les préparer, les traiters, les analyser et faire de la data visualisation. 

Le pack est disponible directement dans le panneau extension de VS Code

Annonce : https://devblogs.microsoft.com/python/announcing-the-new-python-data-science-extension-pack-for-vs-code/

RAG, Température & Fine-tuning, kesako ? Déployez votre modèle et rendez le "Json Ready" Benchmarkez votre modèle et comparez le aux autres L'IA responsable et ses enjeux Philippe PAIOLA (Microsoft France) nous en parle.

La fonction Recall de Windows n'en finit pas de diviser et de multiplier les polémiques. Après les problèmes de sécurité que Microsoft promet de résoudre avec le retour de Recall, c'est désormais une polémique sur la possibilité ou non de désactiver, voire, de supprimer la fonctionnalité de Windows ! La version 24H2 introduit désormais Recall sur tous les PC, Copilot+PC et les autres PC... Surtout, des utilisateurs indiquent que si vous retirez Recall vous cassez des fonctionnalités de Windows. Le développeur Chris Titus indique que cela nuit à l'explorateur de fichiers et que l'on perd  la nouvelle interface... Il existe donc une dépendance technique entre Recall et le File Explorer !

D'autres utilisateurs notent que le retrait (plutôt une désactivation) de la fonctionnalités sur la version 24H2 ne pose pas de problème (sur Reddit)...

Chris Titus évoque comment désactiver Recall sans supprimer totalement Recall : https://github.com/ChrisTitusTech/winutil/issues/2697

Microsoft va-t-il imposer Recall en créant une adhérence technique avec d'autres composants de Windows ? 

Le fournisseur Gandi propose un nouveau pack de sécurité : Pack DNS Sécurité+. Il doit protéger les infrastructures et les serveurs DNS contre les attaques et les DDoS. Gandi estime que 88 % des entreprises subissent des attaques par le DNS. En redirigeant le flux des visiteurs vers des sites frauduleux, les attaques par le DNS peuvent en effet avoir des conséquences graves : détournement de trafic, perte de clientèle, atteinte à la réputation et dommages financiers importants. Il est donc impératif de protéger les infrastructures DNS.

Les principales fonctionnalités :

• Une redondance DNS : une infrastructure résiliente en partenariat avec un leader mondial, assurant une disponibilité de 99,9 %, même en cas d'attaque DDoS ou de panne.
  
  
• Un Backup DNS illimité : permettant de revenir à une configuration antérieure en cas de problème, facilitant la gestion des zones DNS.
  
  
• Une authentification à deux facteurs (2FA) spécifique en cas de changement de configuration ou pour toutes opérations sensibles du nom de domaine (seconde authentification via un code envoyé par e-mail).
  
  
• Un certificat de propriété de domaine : un document juridique pour prouver la propriété d’un domaine, utile dans le cadre de litiges.

Gandi prévient : Le Pack DNS Sécurité+ fonctionne en redirigeant le trafic vers votre site via des Serveurs de noms spécifiques. Si vous modifiez les serveurs de noms de votre domaine, le pack DNS Sécurité+ sera désactivé.

Documentation : https://docs.gandi.net/fr/noms_domaine/services_domaines/pack_securite.html

Le plugin JetPack reçoit une mise à jour de sécurité critique et urgente ! Presque 30 millions de sites web sont potentiellement concernés. La version 13.9.1 doit combler une faille de sécurité qui permet de récupérer des données. Cette faille existe depuis 2016 et la version 3.9.9.

Durant un audit, la faille a été découverte dans le formulaire contact : tout utilisateur pouvait lire les formulaires soumis par les autres utilisateurs.

En tout, 101 versions ont été recues le fix de sécurité !

Site : https://jetpack.com/blog/jetpack-13-9-1-critical-security-update/

La nouvelle version d'Inkscape se sera fait attendre : plus d'un an. La 1.4 est disponible avec beaucoup d'évolutions et de nouveautés. Pour rappel, Inkscape est un outil de dessins vectoriels libre. Cette version propose de nombreuses corrections de bugs, l'arrivée de GTK 4 et de nouvelles fonctionnalités. 

Quelques évolutions de la 1.4 :

- nouvelle fenêtre pour la galerie des filtres avec plus de choix et une prévisualisation plus rapide

- le système de grilles a été revue pour proposer des grilles personnalisables avec de multiples critères

- les palettes de couleurs ont été revues dans l'organisation et la rapidité d'affichage

- Editeur de polices SVG : là encore un important travail d'optimitsation a été réalisé et on dispose d'un navigateur de polices unique

- l'éditeur de formes permet une meilleure finesse sur les pixels, sur la sélection d'un élément d'une image, etc.

- 500 nouvelles icônes sont disponibles

Note de version : https://inkscape.org/news/2024/10/13/inkscape-launches-version-14-powerful-new-accessib/

Durant Les Assises de la Sécurité 2024 à Monaco, une des sessions les plus intéressantes sur le DevSecOps fut celle de Veracode avec le témoignage concret d'Engie. Le contexte applicatif d’envie est à la hauteur des métiers du fournisseur énergétique : un backend comprenant plus de 450 référentiels d’application, de multiples frontends, +10 langages et plateformes (Java, Non, Python, Ruby, Flutter, PHP, etc.), 2 IDE principaux (IntelliJ de JetBrains et Visual Studio Code). 

Dès 2016, les équipes optent pour les pratiques agiles avec 3 axes : l’agile team, DevOps et l’agile release train. Le train agile est un framework permettant d’avoir des objectifs communs pour toutes les équipes. 

Pourquoi le DevSecOps : l’enjeu est d’avoir une vue précise sur la qualité du code et donc la sécurité applicative (AppSec). Un vaste chantier est mené de 2018 à 2022 :

- migrer 90 % des assets IT / applications sur le cloud (AWS)

- 80 % des apps sont en conteneurs déployés en CI/CD.

En 2022, un audit complet est réalisé par mieux connaître le niveau de qualité et de sécurité en utilisant le DevSecOps Maturity Model de l’OWASP. Résultat : l’effet sapin de Noël. C’est-à-dire du rouge partout ! Les besoins des équipes étaient nombreux :

- gérer l’obsolescence

- gérer les patchs et mises à jour

- revoir les process des projets et des applications

En 2023, les scanneurs Veracode sont déployés :

- améliorer le DevSecOps Maturité

- mieux maîtriser les composants applicatifs

En octobre 2024, un bilan a pu être réalisé :

- 180 personnes concernées

- 35 équipes ciblées

- 350 apps scannées

- 9 langages différents

- 1 500 scans par mois sont réalisés

- 20 000 problèmes détectés !

Faire un scan pour du scan de code / application n’a pas de sens. Pour Engie, il s’agissait de pouvoir :

- détecter la présence de secrets dans les codes

- vérifier les vulnérabilités du code

- maîtriser la configuration des conteneurs

- contrôler l’IaC (Terraform)

Mais Engie ne possède pas de compétences DevSecOps. C’est aussi pour cela que Veracode fut choisi car l’éditeur possédait des équipes dédiées pour aider les entreprises. Plusieurs solutions furent testées. VeraCode avait aussi un autre avantage : moins de faux positifs. Le faux positif est une véritable plaie pour les équipes car elles perdent du temps sur des problèmes / vulnérabilités qui n’existent pas. L’autre avantage : intégration des IntelliJ. 

L’avantage était de disposer d’une solution intégrée évitant de déployer plusieurs outils. Cette intégration était importante pour favoriser l’adoption par les développeurs. La sensibilité des dévs à la sécurité est un autre défi à ne pas négliger.

La montée en compétences n’est pas encore faite mais des « security champions » sont identifiés pour aider les autres dévs et animer la communauté. Ensuite le principe du licence to code a été mis en place : les nouveaux dévs accèdent aux codes après avoir passé des certifications. 

Post original d'Alexandre Dos Santos (AI Design Authority of the "IA Factory" for BNP Paribas French Commercial Banking), avec son aimable autorisation.

Depuis ses débuts, Python, bien qu'étant l'un des langages les plus populaires et les plus utilisés aujourd'hui, est critiqué pour deux limitations qui lui ont valu les étiquettes de "lent" et "gourmand en ressources" comparé à des langages comme Java ou C++ :

1 - Le GIL (Global Interpreter Lock) : qui limite le véritable parallélisme en ne permettant par l'exécution réelle de plusieurs threads en même temps sur plusieurs cœurs de processeur.

2 - Son mode d'exécution interprété : qui traduit le code source en bytecode avant de l’exécuter, augmentant ainsi le temps de traitement et la consommation de ressources (mémoire et CPU) par rapport à un langage compilé (comme C ou Rust).

Python 3.13 introduit deux avancées notables (en mode expérimental) apportant des solutions attendues de longue date :

1 -  Le "free threading" : il devient enfin possible d'exploiter pleinement le multi-threading en désactivant le GIL, une avancée majeure considérée comme quasi-impossible il y a encore peu !

2 -  Le compilateur JIT (Just-In-Time) : similaire à celui utilisé dans des langages comme Ruby ou JavaScript, ce compilateur optimise l'exécution du code en le compilant dynamiquement (=au fur et à mesure de l'exécution), ce qui laisse augurer des possibilités de gains de performance significatifs.

D'autres améliorations (comme une meilleure qualité et lisibilité des messages d'erreur) sont également au programme. Je vous invite à explorer l’ensemble des nouveautés sur le site officiel

Comment développer des plugins pour les IDE JetBrains ? C’est un des enjeux de cette conférence en ligne. Elle aura lieu le 7 novembre prochain. Ce sera l’occasion de discuter de développement, comment réussir le lancement de son plugin, gérer la marketplace, etc.

L’agenda s’annonce passionnant : expérience avec le LSP, comment localiser son plugin, comment tester et créer l’interface, construire un plugin pour MongoDB, etc.

Pour en savoir plus & inscription : https://blog.jetbrains.com/platform/2024/10/join-us-for-jetbrains-plugin-developer-conf-2024/

Rien ne va plus entre WordPress.org et WP Engine et c'est la communauté qui subit la situation. Depuis que Wordpress.org a banni WP Engine de la plateforme et que WP Engine ait porté plainte, les tensions se multiplient. Wordpress.org ne fait rien pour trouver une solution, au contraire. Et WP Engine ne veut pas se soumettre. 

Le 9 octobre, le créateur de Ruby on Rail pense que Automattic, lié à Wordpress.org, ne respecte pas les principes de l'open source en demandant plusieurs millions de $ à WP Engine. Le même jour, Mullenweg (Wordpress.org / automattic) a déployé une nouvelle vérification de login pour les contributeurs pour vérifier s'ils sont ou non associés d'une manière ou d'une autre à WP Engine. Le contributeur doit certifier qu'il n'est pas à affilier à WP Engine. 

Si c'est le cas, les contributeurs peuvent être bannis ! Plusieurs d'entre eux le sont déjà car ils n'étaient pas d'accord avec la nouvelle règle...

Bonne ambiance. 

Source: blogs, Techcrunch

.Net 9 arrivera en version finale en novembre (durant la conférence .Net). En attendant, la RC2 est disponible. Signe que la version est quasi finale, la RC2 peut être mise en production avec support technique. Les développeurs sont invités à tester et à installer la RC2. Les fonctions de .Net 9 sont figées et la version finale apportera des corrections de bugs et des optimisations. 

Quelques changement sur la partie MAUI : support de Xcode 16 et des derniers SDK, de nombreuses corrections de bugs sur les versions Android et iOS. 

Annonce : https://devblogs.microsoft.com/dotnet/dotnet-9-rc-2/

Un rapport IDC/JFrog évoque les coûts cachés du DevSecOps. Une entreprise dépense en moyenne plus de 28 000 $ pour la sécurité par an et par développeur. Cela concerne les grandes entreprises et les projets critiques. Le rapport indique aussi un accroissement des heures passées par les développeurs à détecter et à résoudre les problèmes de sécurité. Cela engendre une charge de travail importante stressant les équipes et coûtant de plus en plus cher aux entreprises. 

Quelques éléments clés du rapport :

• Une organisation dépense en moyenne plus de 28 100 $ par développeur et par an pour le temps consacré aux tâches liées à la sécurité.
• Les développeurs estiment qu'ils consacrent environ 19 % de leurs heures hebdomadaires à des tâches liées à la sécurité
• Les développeurs passent en moyenne 3,5 heures à examiner manuellement les résultats des analyses de sécurité à cause des faux positifs et des doublons.
• Les développeurs consacrent 50 % de leur temps à l'analyse des scans à la compréhension/interprétation des résultats, à modifier le code pour remédier aux et à la mise à jour des solutions de gestion des de gestion des secrets.
• Les développeurs indiquent qu'ils consacrent en moyenne 4,4 heures par mois à des activités de formation à la sécurité, soit moins d'une heure par semaine.