Le FOSDEM est le plus grand événement open source et des communautés ouvertes d'Europe : +600 sessions, +600 intervenants, 40 salles, +9 000 personnes ! Le FOSDEM est à la fois excitant et frustrant. Excitant car il représentel'état de l'art de l'open source et frustrant, car il est impossible de tout voir. Le campus de l'Université Libre de Bruxelles est très grand et il faut souvent passer d'un bâtiment à un autre pour les sessions. Programmez ! était sur place les 1er et 2 février. Nous proposons un reportage en plusieurs parties.

Lessons from rewriting systems software in Rust

Si Go suscitait un large engouement, avec +650 personnes durant la session State of Go 2025, la track Rust n'était pas à négliger. Nous sommes allés voir la session Lessons from rewriting systems software in Rust. Il s'agit plus d'un retour terrain que d'une séance de pur code. Pour leur projet de logiciel système, les équipes ont opté pour Rust et non pour du C. Un logiciel système est un logiciel sur lequel on construit une plateforme pour exécuter d'autres logiciels.

Faut-il le généraliser à tous les projets ? Comme le disait en introduction Ruben Nijveld, il faut choisir ses combats, tous les projets ne nécessitent pas une réécriture. Si vous optez pour une réécriture en Rust, plusieurs réalités tempèrent ce choix :

- une réécriture en Rust ne suffit pas à justifier le projet

- attention aux éléments négatifs que cela peut engendrer : diviser vos développeurs, les utilisateurs ne voient pas le changement

- mettre en avant le positif

- ne pas en faire un projet uniquement technique pour se faire plaisir

L'autre question qui arrive très vite : pourquoi tel projet et pas un autre ? Répondre à cette question permet de donner une priorité à un code ou une application par rapport aux autres. Mais de là vient une autre question : quel argument avancer pour justifier la nouvelle implémentation ? Bref : comment vendre votre réécriture auprès des équipes, de la direction et des utilisateurs si besoin ? L'argument "Rust réduit les problèmes de mémoire, il est considéré comme safe" n'est pas suffisant. La sécurité, la gestion de la mémoire sont des arguments valables, mais ce n'est qu'une partie du problème.

Rust est plus performant ? En soi, oui, mais peut-être que le code unsafe est tout aussi performant. Il faut trouver un équilibre entre sécurité, utilisabilité et performance. Si vous misez sur le safe code et les performances, vous devez mesurer et prouver cela par rapport au code actuel. Dire que cargo run --release est rapide, ce n'est pas suffisant.

La stabilité est un argument à manier avec prudence. Ruben dit que l'on peut penser aux fuites de mémoire pour justifier Rust, mais attention : est-ce que j'ai une stabilité de l'API sur la durée ou est-ce incertain ? Voici les deux approches opposées :

- je dois redémarrer le web worker au bout de 1 000 requêtes pour éviter les problèmes mémoires : c'est pas top !

- écrire un code sans fuites mémoires : c'est top !

Si vous décidez de réécrire, restez concentré sur l'objectif. Cela permettra de dynamiser le projet, d'avoir une direction claire et d'aider les autres développeurs. Soyez le moteur du changement, aidez les autres, documentez ce qui fonctionne, ce qui ne fonctionne pas.

Une réécriture, une nouvelle implémentation, est toujours un projet difficile qui peut vite déraper et échouer :

- fonctionner par itération pour évaluer l'avancement du chantier et voir les points de frictions

- prendre le temps nécessaire : une réécriture est toujours longue et difficile, un planning trop serré fera échouer le projet

- plusieurs points sont à surveiller : la documentation, les dépendances, la distribution / déploiement du code final

La documentation est importante : documenter le projet, commenter le code, générer régulièrement la documentation technique avec Rustdoc. Communiquez vers les utilisateurs pour les tenir au courant, les rassurer.

Ne sous-estimez pas la gestion des dépendances. Les dépendances sont les hell dll modernes ! Elles sont là pour vous aider, résoudre des problèmes à votre place. L'écosystème Rust est très riche en librairies : utilisez-les !

Mais attention : 

- prenez uniquement les dépendances nécessaires

- il y a risque de confiance et de sécurité : vérifier l'origine de chaque dépendance et avoir confiance envers les mainteneurs

- les dépendances sont indépendantes de votre vision, de votre chantier : elles vivent leurs vies de leur côté

Avoir confiance c'est bien mais VERIFIER c'est encore mieux ! N'oubliez jamais que les dépendances font parties de votre application et donc du cycle de vie de votre projet ! Ayez une stratégie de gestion claire des dépendances dès le départ. 

Voilà, mon app à la sauce Rust est prête. Il faut maintenant passer à la distribution, au déploiement. Est-ce que publier sur crates.io est suffisant ? NON ! Les utilisateurs ne sont pas des développeurs Rust. Et ils n'ont pas besoin de le connaître ni de manipuler une CLI ! cargo install n'est pas un mécanisme de distribution et d'installation pour les utilisateurs finaux. Vous devez donc penser binaires, fichiers d'installation pour distribuer facilement. Créez les packages nécessaires. vérifiez aussi que le nom soit disponible sur crate pour éviter toute mauvaise surprise. 

Le nouveau numéro de Programmez!, le n°267, est disponible en kiosque, sur abonnement, en version papier et en version PDF. Le dossier du mois est un spécial coding junior : le code c'est facile.

La rédaction veut sensibiliser les jeunes et les moins jeunes à la technologie et au code. Pour ce faire, nous vous proposons des retours d'expérience très concrets. Oui la technologie peut être ludique. Nous poursuivons par plusieurs articles : comment programmer sa TI-83, un rover et une micro:bit, ou encore créer des projets maker en MicroPython, utiliser Arduino et mBlock. Nous terminons ce dossier par créer un jeu de type Visual Novel avec l'excellent outil seccia.dev.

Les autres thèmes du 267 sont :

- Python aime beaucoup l'IA

- Zenoh : un protocole de communication écrit en RUST

- Blazor

- Voyager : l'agent IA qui joue à minecraft

- Azure

- Performances : voyage au mystérieux pays de la performance

- FastHTML

Vous pouvez commander ce numéro dès maintenant : https://www.programmez.com/magazine.php

Pour vous abonner à Programmez! : https://www.programmez.com/content/nos-formules-dabonnements

PyPi, la référence des paquets Python, est une nouvelle fois confronté à des paquets malicieux. Profitant de la popularité de DeepSeek, des groupes de hackers déploient des paquets contenant du code malveillant en utilisant les noms deepseek, deepseekai, etc. Les équipes de Positive Technologies ont mis en évidence une campagne de malware trompant les développeurs afin de voler des données ou de corrompre un système. La société de sécurité indique avoir découvert et mis en quarantaine plusieurs paquets suspects. Plus de 220 développeurs ont installé ces paquets, mais cette attaque semble avoir été maîtrisée.

Tout est parti d'un paquet publié fin janvier 2025, alors que son créateur, bvk, n'était pas actif depuis 2023. Il est à l'origine de deux paquets malicieux.

Bref : il faut être prudent avant d'installer un paquet Python dont l'origine est incertaine.

Bonne nouvelle ! Apple a mis sur GitHub le système de build de haut niveau, Swift Build. Il est intégré à Xcode pour construire les projets Swift et les paquets Swift. Il est aussi utilisé par Playground. Swift Build se base sur llbuild qui est un système de build bas niveau. Il s'agit d'un ensemble de librairies dédiées. Il supporte LLVM, Clang et Swift. 

Swift Build peut s'utiliser avec SwiftPM ou Xcode. La communauté est encouragée à tester et à proposer des évolutions. Pour Swift, c'est aussi un moyen d'étendre la communauté en ouvrant un des modules les plus importants. Swift Build est étroitement intégré au compilateur Swift.

On oublie souvent que Windows 10 a déjà 10 ans. La première version était sortie fin juillet 2015. Microsoft communique depuis plusieurs mois sur la fin du spport de l'OS : 14 octobre 2025. Pour les entreprises, Microsoft prévoit une support Extended Security Updates au-delà de la date de support officiel. L'ESU permet un support supplémentaire jusqu'à 3 ans. Il en coûte 61 $ pour un année ou 427 $ pour les 3 ans (oui, oui, 427 $). Pour l'éditeur, sans le dire, il s'agit d'accélérer la migration vers Windows 11 mais aussi de changer de machines car le parc Windows 10 n'est pas forcément comptabiles avec Windows 11. Ces restrictions ont fait l'objets de nombreuses critiques et de multiples revirements de la part de l'éditeur. 

Bref, Microsoft veut vraiment en finir avec Windows 10. Des campagnes de migration ont été lancées en conseillant aux utilisateurs de migrer quand la machine est compatible. Le problème est la popularité de Windows 10 : plus de 63 % des PC l'utilisent selon des chiffes de StatCounter. Windows 11 plafonne à 34 %. 

Windows 11 est aussi concerné par la fin du support. Les versions 21H2 et 22H2 ne sont plus supportés. La 23H2 s'arrêtera le 11 novembre. La version 24H2, sortie en octobre 2024, s'arrêtera le 13 octobre 2026. 

Le Game Jam est un hackathon bien connu des développeurs de jeu. Le défi est « simple » : un week-end pour coder un jeu selon un thème imposé. Nous avons eu le plaisir d’assister au défi sur le campus d'ESIEE-IT de Cergy-Pontoise.

À partir de 18h30, le 24 janvier, plus de 80 étudiants et développeurs se sont assis dans l’amphithéâtre de l’école pour ouvrir l’édition 2025 du Global Game Jam. Après avoir rappelé le principe de l’événement, le thème a été dévoilé dans les lieux participant au Game Jam. Pour 2025, il faut réaliser un jeu sur le thème de la bulle !

La seconde étape de la soirée est de constituer les équipes et de trouver les bonnes idées pour créer le jeu. Des participants viennent au Global Game Jam depuis dix ans et former des équipes est une routine, pour d’autres, c’est un peu plus chaotique. Le but est aussi de mêler les compétences : développement et design, sans oublier l’audio…

Il faut rapidement se mettre au travail : peaufiner l’idée du jeu, se répartir les tâches, définir un gameplay, créer les sons. En deux jours et deux nuits, le défi est immense.

Dans un chaos plus ou moins organisé, les équipes avancent pour la présentation des projets le dimanche 26 à partir de 15h. Il faut donc compiler les codes et les assets en fin de matinée, pour s’assurer que tout fonctionne. On sent que la nuit a été longue et que les dernières heures ont été difficiles.

Au total, une vingtaine de jeux ont été présentés. Les équipes sont parfois nombreuses, jusqu’à six personnes, d’autres se limitent à une personne. Unity est l’outil le plus utilisé par les équipes. Quelques jeux s’appuient sur Godot et sur Python.

Ce qui est intéressant à voir, c’est comment les équipes ont compris le thème pour définir un jeu, une mécanique de jeu. De là, il faut créer le gameplay. Pour certains, le gameplay n’a pas été une priorité ou apparaît trop complexe à comprendre immédiatement. Certaines équipes ont misé sur les graphismes, au détriment du reste.

Nos coups de cœur sont :

Pidgey : une histoire de pigeon qui rêve de devenir un poisson.
Les + : une idée originale, un gameplay réussi même s’il faut un peu de maîtrise pour se déplacer de bulle en bulle, mais nous adorons le principe. Les graphismes sont réussis.

Nageeee : jeu multijoueur. Il faut survivre le plus longtemps. Les nageurs doivent faire du bouche-à-bouche aux poissons pour récupérer de l’oxygène.
Les + : un gameplay simple mais efficace. De bons graphismes avec des animations réussies.

Quel paquet : un jeu de déménagement. Il faut emballer les meubles pour éviter que les déménageurs ne les cassent. Il faut être plus rapide qu’eux sans dépasser le budget de papier bulle. Plus on monte de niveau, plus le jeu est rapide et il faut aller de plus en plus vite. Le gameplay ne se comprend pas immédiatement.
Les + : plusieurs niveaux, des graphismes plutôt réussis.

Bravo à toutes les équipes et à l'enthousiasme de tout le monde. Merci aux équipes de l'ESIEE-IT pour leur accueil. 

Murena développe un Android à partir du projet open source, AOSP.

Deux postes sont ouverts :

- Android BSP engineer : poste stratégique car il s'agit d'assurer la maintenance sur les terminaux compatibles avec /e/OS. Il faut vérifier la compatibilité de l'OS sur les nouveaux terminaux, fixer les bugs, assurer le portage, etc. Il faut maîtriser le noyau Linux, le firmware et tous les composants bas niveau de l'OS et du hardware. Et vous maîtrisez le système de build AOSP. 

- AOSP Framework engineer : le principal objectif du poste est de maintenir le framework AOSP et les applications, concevoir les modifications pour /e/OS, maîtriser l'ensemble des couches AOSP, notamment la partie UI. 

Bien entendu, Anglais indispensable, en full remote et travail dans des équipes internationales.

Pour en savoir plus : https://murena.com/fr/emplois/

Fin janvier, un article est paru sur un blog officiel d'Intel. Le sujet est clair : Modular PC design, a sustainable approach for enhanced repairability and reduced e-waste. Ce que nous pouvons traduire par : Conception modulaire de PC : une approche durable pour une meilleure réparabilité et une réduction des déchets électroniques. Le PC modulaire n'est pas réellement nouveau. Dans le succès du PC (PC dans le sens IBM PC compatible), il y a bien entendu le PC que l'on montait soi-même et que l'on fera évoluer et on pouvait facilement changer des pièces. De nombreux modèles ne permettent plus ces accès.

Des arguments clés sont cités par Intel : la modularité de construction de la machine en prenant modèle sur l'automobile, où mettre le niveau de modularité, et ouvrir la modularité aux utilisateurs. Bref, la modularité ne signifie pas la même chose que l'on se place dans usine de fabrication ou côté utilisateur. Le succès de Dell s'est reposé sur : on choisit un modèle et on constuit un configuration sur mesure. Le constructeur Framework permet se personnaliser directement sa machine, de changer soi-même de nombreuses pièces. 

En perpsective, il y a la réparation et la durabilité de la machine, réduire les déchets et/ou permettre de réutiliser des composants / éléments en les recyclant. Et de rouvrir la machine pour mettre à jour la RAM, le stockage, le GPU, etc. dans un ordinateur portable, comme le propose Framework. Par design, les principaux "modules" sont pensés pour être changé simplement. 

Les objectifs sont :

- réduire l'impact sur l'environnement

- créer un système capable de monter en puissance et de s'ajuster aux besoins réels 

- supporter le droit à la réparation le plus simplement possible

- gérer simplement les références matérielles et simplifier les matériels compatibles

- être plus rapidement disponible sur le marché

La publication imagine une architecture modulaire PC de type premium tout en réduisant le nombre de carte mère disponible (3 plateformes), pour réduire les déchets de fabrication, facile à mettre à jour et réparation simplifiée. 

L'autre objectif est de créer une connectique standard pour les modules d'extension comme on peut l'avoir sur les formats des RAM ou du stockage. C'est un enjeu important car le risque est que chaque constructeur propose son format... Dans le même temps, Intel évoque aussi les plateformes d'entrrée de milieu de gamme qui auraient un choix plus limité de plateformes. 

Intel imagine aussi l'architecture PC modulaire. Là encore, ce n'est pas nouveau, Razer avait imaginé un superbe concept (qui ne fait jamais réalisé) ou encore Acer avec le Revo. Pour Intel, le principe reste le même : un système de base et des modules. 

Article : https://community.intel.com/t5/Blogs/Tech-Innovation/Client/Modular-PC-Design-A-Sustainable-Approach-for-Enhanced/post/1657681

88 % des entreprises envisagent de quitter l'offre Java d'Oracle. Il y a quelques semaines, Azul avait déjà publié un post sur les risques d'un audit par Oracle des Java déployés en entreprise, suite aux changements de licences.

Notre article : https://www.programmez.com/actualites/licence-java-se-audit-ou-pas-audit-de-vos-usages-37236

Cette fois-ci, Azul publie le State of Jave 2025, quelques éléments sont mis en avant :

- 99 % de l'usage de Java sont pour les logiciels ou en infrastructure.

- 49 % utilisent Java 17 ou 21

- 88 % des entreprises envisagent / pensent à changer de fournisseur de Java

- 82 % se disent concerner par les tarifs Java d'Oracle

- 49 % ont été impactés par Log4J

- 50 % disent utiliser Java avec l'IA

- 65 % disent que les workloads Java représentent la moitié des factures cloud !

Ce rapport est intéressant car Java n'est plus le langage le plus utilisant dans le JDK : 

- 28 % utilisent uniquemennt Java

- Groovy, Scala et Kotlin sont très utilisés avec ou sans Java

Plus de la moitié des entreprises se disent très concernées par les tarifs. Est-ce une raison pour migrer vers une autre JDK, la lecture du rapport est nuancée. 46 % disent : oui pour une JDK avec support payant non Oracle, 25 % veulent bien changer mais sans support payant. 17 % disent de ne pas avoir décider pour une distribution spécifique ni pour le support... Oui il y a un mouvement qui se fait ou se fera. Au-delà des migrations réelles, ou non, les entreprises veulent avertir Oracle. Par rapport à 2023, les entreprisent qui veulent rester sont seulement de 12 % contre 23 %. 

Les motiviations sont intéressantes et finalement, le tarif n'est pas l'argument majeur. Oui, les tarifs sont jugés chers pour 42 % mais les pratiques commerciales sont pointées (37 %) ainsi que les changements successifs et le manque de visibilité. Le risque d'audit est seulement de 32 %. La préférence à une JDK totalement open source est à 40 %. 

Business is business. Cet adage se vérifie parfaitement avec les LLM DeepSeek au coeur de l'actualité IA depuis quelques jours. Malgré les critiques et les soupçons d'une infrastructure bien plus performante que celle annoncée, la compatibilité de DeepSeek s'étend. Le LLM R1 comporte 671 milliards de paramètres. Azure annonce son support dans Azure AI Foundry et GitHub.

"DeepSeek R1 est accessible sur une plateforme fiable, évolutive et adaptée aux entreprises, permettant aux entreprises d’intégrer de manière transparente l’IA avancée tout en respectant les SLA, la sécurité et les engagements en matière d’IA responsable, le tout soutenu par la fiabilité et l’innovation de Microsoft." indique Azure. Pour l'utiliser, il faut disposer d'un compte Azure et de sélectionner DeepSeek R1 dans le catalogue de modèles. 

Annonce : https://azure.microsoft.com/en-us/blog/deepseek-r1-is-now-available-on-azure-ai-foundry-and-github/

AWS annonce ce jour la disponibilité de DeepSeek-R1 sur la plateforme cloud AWS. Il est possible de l'utiliser dans Bedrock Marketplace, dans Bedrock Custom Model Import, SageMaker JumpStart, EC2 Trn1. Annonce : https://aws.amazon.com/fr/blogs/aws/deepseek-r1-models-now-available-on-aws/

NVIDIA, qui a été malmené par l'annonce de DeepSeek, rend disponible le LLM dans un microservice NVIDIA NIM (préversion). Il est accessible sur build.nvidia.com. Il peut délivrer 3 872 tokens par seconde sur un système HGX H200. 

Magali de Labareyre (talent acquisition manager chez OVHcloud) nous parle de recrutements, de pratiques RH dans la Tech, ce qui peut faire la différence entre 2 profils.

Ce podcast fait suite au meetup 47 de décembre 2024 : "Nous aborderons les ressources clés pour une carrière réussie dans la tech : comment construire son réseau bâtir sa crédibilité etc. Nous étudierons comment rester à la pointe en investissant dans sa (auto)formation. Enfin, vous verrez que les RH loin d'être une contrainte, peuvent être des alliés pour votre gestion de carrières et vous épauler si vous en connaissez règles du jeu !"

Durant plusieurs jours, le mot "Linux" a été purement et simplement banni du réseau. Linux était considéré comme une menace de sécurité. Des profils ont été restreints en partageant un lien avec le site DistroWatch... DistroWatch a été lui aussi interdit plusieurs jours...

Alors que la polémique devenait de plus en plus forte, Facebook a réagi et a admis une erreur en affirmant que le problème a été corrigé. Ouf, nous pouvons de nouveau utiliser Linux dans les échanges ! Meta a réagi sur PCMag : cette décision (d'interdire Linux) était une erreur. Les discussions sur Linux sont autorisées sur nos services.

Meta n'a fourni aucune explication sur la façon dont une telle interdiction a pu être prise. Pas de guerre contre Linux menée par Meta mais une énorme bourde de modération.

Une équipe de chercheurs du Cheriton School of Computer Science a publié un travail sur le noyau Linux : 30 lignes de codes améliorent l'efficacité du noyau de 30 %. Cela signifie de meilleures performances, une consommation énergétique moindre. Ce travail se concentre sur l'efficacité du trafic réseau et commencer le noyau gère le réseau avec des applications serveur très exigeantes. L'amélioration de 30 % est à nuancer...

Ce travail se concentre sur un réagencement des opérations réseaux dans le pile réseau de Linux : meilleure efficacité résau, un noyau moins chargé, des trafics réseaux plus fluides. Tout cela contribue à réduire la charge du noyau et donc les besoins en ressources. « Nous n’avons rien ajouté », a déclaré le professeur Karsten. « Nous avons simplement réorganisé ce qui doit être fait et quand, ce qui conduit à une bien meilleure utilisation des caches CPU du centre de données. C’est un peu comme réorganiser le pipeline d’une usine de fabrication, de sorte que les gens ne courent pas partout en permanence. »  

L'autre défi était de soumettre à la communauté ce "patch". Et il fallait passer de la théorie à la pratique. Karsten a travaillé avec Joe Damato, ingénieur chez Fastly, pour développer le code qui ne soient pas intrusives au noyau. Ce code a été publié dans la version 6.13. 

Au coeur de ce changement, il y a un travail autour de l'IRQ qui permet d'équilibrer les interruptions CPU non nécessaires. Ce mécanisme améliore la latence lorsque le trafic est réduit mais tout aussi efficace en cas de trafic réseau intense.

"Cette modification introduit un nouveau mécanisme, la suspension IRQ, qui permet aux applications réseau utilisant epoll de masquer les IRQ pendant les périodes de trafic élevé tout en réduisant la latence de queue (par rapport aux mécanismes existants) pendant les périodes de faible trafic. Ce faisant, cela équilibre la consommation du processeur avec l'efficacité du traitement du réseau." précise la note de soumission. 

Cheriton School évoque jusqu'à 30 % d'amélioration énergétique dans les datacenters mais sans réellement détaillé comment le calcul est fait. En réalité, cette amélioration permet d'améliorer les performances réseaux et donc de mieux exploiter l'infrastructure réseau (serveur, CPU, switch, etc.) et dans le même temps de moins chargé le noyau (et non les processeurs et les serveurs). 

Code complet de la modification avec les explications détaillées : https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=80b6f094756f

PyCharm arrive en version 2024.3.2. Une des principales nouveautés est le support des packages uv. uv est un gestionnaire de paquets très rapide écrit en Python. Les points forts sont :

- beaucoup plusieurs rapide que pip

- installations et gestions des versions de Python et des apps

- installation possible par curl ou pip 

- support de Linux, macOS et Windows

Pour en savoir plus sur uv : https://docs.astral.sh/uv/pip/environments/

L'autre nouveauté est la visualisation des graphiques Flame, dans la version professionnelle de PyCharm. "Vous pouvez désormais rapidement savoir où votre code passe la majeure partie de son temps d'exécution. Les graphiques Flame affichent l'arborescence des appels de l'application, ce qui vous permet de vérifier la durée de chaque appel dans l'intégralité de l'instantané ou dans le parent direct de l'appel. Vous pouvez même définir un seuil, rechercher des méthodes spécifiques et zoomer sur le graphique pour vous concentrer dessus.". Pratique non ? Les graphs Flame ne sont pas une nouveauté mais son support est bien meilleur dans la 2024.3.2. 

Enfin, Quick-fix est là pour résoudre l'absence d'un package et l'installer depuis PyPi. L'idée est simple : si vous avez un package non disponible dans le répertoire par défaut Conda, PyCharm va voir l'erreur et pouvoir installation les paquets manquants depuis PyPi. 

Annonce la version : https://blog.jetbrains.com/pycharm/2025/01/pycharm-2024-3-2/

La direction interministérielle du numérique annonce la mise à jour des différents bug bounty pour Tchap (messagerie instantanée du service public), FranceConnect / FranceConnect+ / ProConnect, le service d'authentification unique des services publics en France. 

"Dans le cadre de sa politique de sécurité des systèmes d’information (SSI), l’État a mis en place des mesures renforcées pour faire face aux menaces numériques grandissantes. Cette politique s’accompagne d’une augmentation significative des primes offertes dans le cadre des programmes de Bug Bounty de Tchap, FranceConnect, FranceConnect+, et ProConnect, afin de favoriser la détection et la correction rapide des vulnérabilités. L’objectif, à travers l’augmentation des primes, est également d’encourager une participation toujours plus active de la communauté des hackers d’intérêt général." rappelle l'annonce officielle.

Les récompenses pour les hackers éthiques sont de 20 000 € pour Tchap et 30 000 € pour FranceConnect, FranceConnect+, et ProConnect. Ces montants varient avec le niveau critique de failles découvertes. Il s'agit d'une évolution importante. Les anciens montants plafonnaient à 8 et 20 000 €. Il s'agit essentiellement de découvrir des vulnérabilités sur les fuites de données et à l'usurpation d'identité. 

"Les règles de contribution exigent d’être le premier à signaler une faille, de proposer une solution constructive, de ne pas endommager les systèmes, de respecter la confidentialité des données et d’être totalement indépendant du projet. Chaque faille ne sera rémunérée qu’une fois : le premier hacker qui l’aura signalée touchera la prime associée." précise l'annonce officielle. 

Liens vers les bug bounty :

https://yeswehack.com/programs/franceconnect-proconnect-public

https://yeswehack.com/programs/tchap-public

Angular annonce la version 19.1 Il s'agit d'une version mineure mais avec des nouveautés intéressantes. Cette version introduit le support de TypeScript 5.7, la dernière stable du langage. Angular va désormais plus loin dans les suppressions des importations de composants ou de pipes qui ne sont pas utilisés dans une app.  ng generate @angular/core:cleanup-unused-imports va automatiquement retirer les imports inutiles. 

NgComponentOutlet est une nouvelle propriété pour le chargement dynamique des composants à un emplacement spécifié dans une app. La 19.1 lève les limitations actuelles (uniquement dans un fichier .ts). Pour la localisation des apps Angular, la 19.1 veut simplifier la personnalisation des URL pour mieux spécifier l'usage d'un répertoire pour une langue donnée avec subPath. subPath complète le baseHref existant. 

La fonction HMR (remplacement à chaud d'un module) est maintenant étendu aux fichiers HTML. Elle était limitée aux fichiers CSS. "Cela signifie que la modification du code dans un fichier actualisera uniquement le modèle spécifique, et non l’application entière. Par conséquent, nous ne perdrons pas l’état de l’application en raison d’une actualisation et nous gagnerons du temps en évitant un rebuild complet de la page." précise la note de version.

Autre nouveauté intéressante : dans les DevTools, on peut désormais voir un graphique montrant les "routes" utilisées par son application, pratique pour mieux comprendre ce qu'il se passe et les chemins utilisés.

Note de version : https://angular.love/angular-19-1

Microsoft annonce la bêta de TypeScript 5.8. 

Pour son installation : npm install -D typescript@beta

Une des nouveautés est le nouveau flag erasableSyntaxOnly. L'idée est de pouvoir effacer / supprimer toute syntaxe spécifique TypeScript d'un fichier, tout en laissant un fichier JavaScript valide. Certains éléments ne sont pas pris en compte pour ce flag : les déclarations des énumarations, namespaces, modules, les alias import ou les paramètres des priorités de classes. Parmi les autres nouveautés du langage : 

- support --module nodenext

- support stable de module node18

Avec la bêta, TypeScript 5.8 est complète sur les fonctionnalités. La priorité est la chasse aux bugs et à stabiliser les évolutions. 

Note de version complète : https://devblogs.microsoft.com/typescript/announcing-typescript-5-8-beta/

Bonne nouvelle ! Google libère le code source de PebbleOS. Pebble Technology était un constructeur de montres connectées dès 2013. Il avait créé le hardware et le logiciel. Elles étaient compatibles Android et iOS. Après une seconde génération en 2015, Pebble annonce la fin de l'aventure en décembre 2016 : arrêt de la production, plus aucun support. Plus rien. Dans le même temps, Fitbit rachetait une partie des actifs de Pebble : les équipes et les technologies. Mais Fitbit mise sur sa propre gamme et intègre des technologies Pebble. 

Un projet alternatif, Rebble, tenta de maintenir l'OS et le matériel. Le service survit 2 ans. Et finalement, Google a annoncé le 27 janvier la mise en open source du code de PebbleOS. 

Les sources sont disponibles sur GitHub. Google a ouvert la dernière version de l'OS, l'ensemble des fonctionnalités, le support des apps tierces. Le matériel repose sur un microcontrôleur ARM Cortex-M. L'OS en lui-même est construit sur FreeRTOS. Les apps sont écrites en C, JavaScript (avec le moteur Jerryscript). L'OS est plutôt léger pour optimiser l'autonomie. Attention : Google précise que tous les codes propriétaires ont été retirés notamment dans le firmware (Bluetooth, bibliothèque STM, ARM CMSIS, certains codecs, pilote de rythme cardiaque, l'ensemble du système des polices). Bref, tout ce qui n'appartient pas Pebble est retiré. CD'autres modules ont déplacé et sorti du code principal (third_party). 

Google est transparent sur l'utilisation du code : "Pour que quelqu'un puisse créer une nouvelle mise à jour du firmware, il y a une quantité de travail non négligeable à faire pour trouver des remplacements pour les éléments qui ont été supprimés de ce code, ainsi que pour mettre à jour ce code source qui n'a pas été maintenu depuis quelques années." Cela signifie que nous ne verrons pas un matériel compatible PebbleOS ou une nouvelle version de l'OS avant un long travail d'implémentation pour créer un firmware totalement fonctionnel. 

Eric Migicovsky, fondateur de Pebble, a l'ambition, avec une petite équipe, de concevoir de nouvelles montres et d'utiliser PebbleOS Open Source et d'écrire les couches logicielles manquantes. Il précise qu'il veut faire simple et ne pas reproduire les erreurs de Pebble avec des fonctionnalités trop ambitieuses. Il n'a aucun détail ni agenda pour ce nouveau projet. 

Voir et revoir notre meetup Jetpack Compose pour créer des UI Android.

Comment Jetpack Compose a révolutionné le développement de UI pour Android ?Comparaison avec l'approche XML, forces, avantages et pièges ? Session technique par Christophe DE BAST (Managing Solution Architect chez Capgemini)

Philippe Paiola nous explique les Assistants et comment les construire sur les briques Azure AI

Meritis lance la 5e éditon de son concours de programmation et lance en même temps une nouvelle plateforme dédiée au concours de code ! Grande nouveauté cette année : un mode développeur et un mode non-développeur, permettant aux autres métiers de participer à des jeux de logique. Avec 500 participants attendus, cet événement ambitionne à devenir un rendez-vous incontournable pour tous les amateurs de défis intellectuels, qu’ils soient débutants ou confirmés.

L'événement devient un événement à part et largement ouvert. « Jusqu’alors exclusivement orienté vers les développeurs, Code On Time s’institutionnalise pour devenir un événement ouvert à tous les passionnés de l’IT. En proposant un mode non-développeur, nous souhaitons élargir notre audience et offrir à d’autres métiers la possibilité de se tester sur des défis logiques dans un cadre ludique et convivial », explique Gaëtan ELEOUET, Directeur de l’expertise Software Engineering et concepteur de la plateforme.

« À travers cette édition spéciale axée sur le thème du nettoyage des mers, nous voulons sensibiliser la communauté tech à l’importance des enjeux environnementaux. C’est une cause qui nous tient à cœur chez Meritis », explique Sébastien VIDEMENT, PDG de Meritis.

la nouvelle plateforme Code On Time regroupera l’ensemble des exercices proposés lors des 4 précédentes éditions, soit 20 défis au total, auxquels s’ajouteront progressivement les exercices des futures compétitions. Chaque nouvelle édition, d’une durée d’environ 10 jours, permettra aux participants de s’affronter sur plusieurs défis, avec la possibilité de demander un indice en cas de blocage. Pour les anciennes éditions, ils pourront être guidés par des ambassadeurs et consulter en ligne un résumé des solutions.

Récompenses

Les participants auront l’opportunité de se distinguer et de gagner des récompenses attractives :

• Un chèque cadeau de 500 euros pour le grand vainqueur.
• 10 participants tirés au sort recevront chacun un chèque cadeau de 15 euros.

Le concours est ouvert depuis le 23 janvier mais les inscriptions sont toujours possibles : https://cleansea.codeontime.fr/

23 janvier : OpenLLM/Linagora lancent la plateforme Lucie, un LLM français avec une GenIA. L'entraitement a débuté en août dernier durant 80 jour sur le HPC Jean Zay, soit environ 550 000 heures de temps GPU. Le LLM repose sur des données open source, dont un tiers moitié purement français. La plateforme lucie.chat s'appuie sur le modème Lucie 7B. Mais les limitations du modèle et des données ont rapidement montré les limites de Lucie. 

Ce modèle utilise donc 6 milliards de paramètres. Les algos sont accessibles et le tout sous licence Apache 2. 

Pourquoi lancer une version incomplète aussi vite ? Deux éléments sont mis en avant : 

1 Le besoin de récupérer des requêtes pour poursuivre l'entrainement. Un LLM de type GPT ou LLAMA représente 12 à 18 mois d'entrainement

2 Avoir une plateforme visible pour le sommet pour l'action sur l'IA en février

La version en ligne le 23 janvier était une version technique. Mais rapidement, l'accès au service a été compliqué et la qualité des réponses a été mise en doute et partagée sur les réseaux (ex. : les oeufs de vache). Sans doute aurait-il fallu indiquer dès le départ : projet de recherche en cours de développement pour éviter frustrations et critiques.Quelques jours plus tard, des précisions ont été apportées et nuancent fortement les propos initiaux :

"Un projet de recherche académique encore en phase initialeLUCIE est avant tout un projet de recherche académique visant à démontrer les capacités à développer des communs numériques d’IA générative. À ce jour, aucun travail spécifique n’a été réalisé avec l’Éducation Nationale pour personnaliser ou adapter le modèle à un usage éducatif.
Toute utilisation dans un contexte de production est donc prématurée." dixit la note d'informations. Or, initialement, éduscol Lettres disait que cette IA open source devrait être adaptée pour le monde de l'éducation courant 2025. 

Donc dans sa version actuelle, Lucie est une plateforme brute pour la recherche, le fonctionnement est minimal, pas d'optimisation pour calibrer les réponses, le RAG, les garde-fous ne sont pas (encore) déployés pour éviter toute dévience du modèle. 

Linagora fait son mea culpa. C'est bien mais le lancement aurait du être plus encadré pour éviter cette communication de crise. Une bêta privé aurait été une approche prudente pour limiter l'accès et comprendre les retours. Ouvrir un service alpha / bêta est toujours un risque. Et manque de chance, Lucie débarque quand DeepSeek occupe les esprits et arrive à se comparer à OpenAI... 

A voir commen Lucie va pouvoir évoluer et quand. En face, la concurrence avance vite, très vite. 

Tailwind CSS est un framework CSS pour exploiter au mieux les possiblités du CSS, une alternative à Bootstrap. La version 4 vient de sortir avec beaucoup d'évolutions. Tout d'abord, le framework propose des performances en hasse jusqu'à x100, l'installation a été simplifiée pour réduire les dépendances et avoir une configuration la plus simple possible et un minimum de code pour déclarer le framework. Cette v4 gère mieux les multiples fichers CSS et l'ensemble des variables CSS sont accessibles de n'importe où. La palette de couleurs a été entièrement revue. 

Le projet met en avant plusieurs améliorations :

- une meilleure gestion des couches cascade CSS,

- les grandes pages complexes sont mieux gérées et le réglage de l'opacité d'une couleur est mieux intégrée.

Une nouveauté importante de la v4 est que la configuration se fait directement en CSS et non par un fichier tailwind.config.js. Le frameworkd propose aussi des API de transformations 3D.

Tous les détails dans la note de version : https://tailwindcss.com/blog/tailwindcss-v4 

Qt est particulièrement actif depuis mi-janvier, avec une cascade de nouvelles versions :

- QtGraphs 6.9 : cette version corrige de nombreux bugs, possibilité d'injecter un graph dans QtQuick3D, support de la transparence dans la fonction Surface 3D, déplacement et zoom sur les graphs 2D (assez amusant à utiliser)

- Qt Safe Renderer 2.1 : l'outil permet de créer des UI avec des éléments dits critiques comme les indicateurs d'avertisssement. Cette version sépare le Safe Renderer Runtime et le Safe Renderer Tooling, support de CMake uniquement

- Support de Windows App SDK : c'est la premire fois que Qt supporte le Windows App SDK. Il est disponible dans Qt Creator.

- Qt Creator 15.0.1 : cette version corrige des bugs et particulièrement les crashs de l'outil. Le QML Language Server a été désactivé par défaut pour les modèles de code des fichiers QML. Mise à jour de LLVM.

- Qt Gradle Plugin 1.1 : cette version corrige des bugs, permet des builds incrémentales

- Qt AI Assistant 0.8.8 : Qt travaille sur un assistant IA accessible depuis Qt Creator et supportant de nombreux LLM. 

Tous les détails sur le blog développeur : https://www.qt.io/blog

Il y a un an, on pouvait lire ici et là, des prédictions sur la fin de ChatGPT qui sera remplacé par un autre service. La réalité est arrivée plus vite que prévue avec DeepSeek, un startup chinoise.

Cette IA / GenIA, repose sur :

- un modèle open source pour les LLM et le code source

- un investissement officiellement bien moindre que OpenAI et les autres même si nous ne connaissons pas tous les éléments

Le potentiel de DeepSeek, la diffusion de son app, une licence MIT pour son LLM, des tarifs plus accessibles pour les services payants, font que la startup chinoise fait trembler une partie de l'univers IA américain. Surtout, DeepSeek propose des tarifs bien plus faibles qu'OpenAI alors que les investissements vont être colossaux en 2025. La question est de savoir quelle est l'infrastructure derrière DeepSeek et comment les LLM chinois sont entraînés. Les milliards ne font pas tout ni la qualité d'une app ou d'une IA. La preuve. Des analystes prédisent déjà la fin des investissements monstres (Jefferies). 

Mais d'autres, tels que JPMorgan, soulèvent d'autres questions qui nuancent l'exploit : DeepSeek est financé par un important fonds chinois, High-Flyer. Ce dernier aurait permis à DeepSeek d'utiliser plus de 50 000 GPU NIVIDIA Hopper, soit grosso modo l'équivalent de l'infrastructure d'OpenAI. L'efficacité des LLM de DeepSeek vient forcément d'une inférence sur 10-12 mois et qu'une puissance de calcul est nécessaire pour le réaliser. Elon Musk ne dit pas autre chose : Évidemment, DeepSeek a bien plus de GPU NVIDIA qu'ils ne le disent. Officiellement, la startup affirme utiliser 10 000 GPU A100... 

Après, que DeepSeek baisse les tarifs, est-ce à dire que les infrastructures soient nécessairement moindres ? Ou alors, la startup mise sur la masse d'utilisateurs payants pour amortir les coûts, quitte à adopter une stratégie tarifaire agressive à perte.

Les restrictions sur l'exportation technologique des Etats-Unis poussent sans aucun doute les startups chinoises à chercher des contournements et des solutions techniques équivalentes. Il n'en fallait pas plus pour que NVIDIA chute fortement à Wall Street : - 13 %. Notons tout de même que l'IA de DeepSeek est soumise aux contraintes légales chinoises, notamment sur le domaine politique.

Dans l'univers maker / DIY / IoT, seeedstudio est un des constructeurs les plus connus avec Adafruit ou Sparkfun. Il produit de nombreux capteurs et propose régulièrement de nouvelles cartes de prototypage. Malheureusement, la pérennité de ces cartes n'est pas toujours très longue et les librairies et documentation manquent parfois cruellement pour les exploiter.

Parmi les plus récentes productions, seeed propose la plateforme XIAO. Les avantages sont indéniables :

- elles sont petites : 2,1 x 1,78 cm

- elles sont peu chères : -5 $

- elles peuvent être utilisées dans des contextes IA, machine learning

- 12 modèles avec des microcontrôleurs variés : ESP32, RP2040, etc. 

- compatible avec Arduio, MicroPython, CircuitPython, PlatformIO

Les cartes XIAO possèdes des GPIO pour les broches analogiques et numériques, I2C, SPI, UART. Bref, tout ce qu'il faut pour monter un prototype d'IoT, tester des capteurs ou faire de la domotique. On dispose aussi du WiFi et du BLE (selon les modèles). Il existe des versions ARM et RISC-V. Selon le modèle, CircuitPython est supporté ou non. Si vous utilisez Arduino IDE, le constructeur propose un support natif (board -> ESP32 -> XIAO). Le modèle de programmation est celui de l'Arduino dans ce contexte. 

Pour en savoir plus : https://www.seeedstudio.com/xiao-series-page

Android 16 fait son apparition. Google vient de distribuer la bêta 1 du futur OS qui devrait être disponible fin 2025 ou début 2026. Cette version est compatible Pixel (voir Programme Android Bêta).

Quelles nouveautés attendre de cette version ?

1 / Android adaptive apps : la fluidité des apps mobiles sur l'ensemble des terminaux de l'utilisateur est un axe important d'Android. Les adaptives apps s'adaptent à la taille de l'écran et au matériel cible. Android entame le voyage pour supprimer des contraintes des apps pour le redimensionnement des écrans et l'orientation. Il faudra ignorer les restrictions dans le manifest et les API. La fin de la transition est prévue pour 2026.

2 / Live Updates est un nouvelle classe pour notification des utilisateurs et avoir accès aux activités / informations les plus importantes. Voir ProgressStyle

3 / Caméra & media : Android 16 introduit le codec Advanced Professional Video pour l'utilisation professionnelle des vidéos et un usage en post-production. On pourrait intégrer les vidéos 8k. Ajout de EXTENSION_NIGHT_MODE_INDICATOR pour mieux gérer la détection du mode nuit dans les apps.

4 / Texte vertical : cette fonctionnelle est particulièrement utile dans certaines langues. Via le nouveau flag : VERTICAL_TEXT_FLAG

5 / Accessibilité : de nouvelles API sont attendues par exemple pour mieux aider dans la saisie des formulaires (setFieldRequired).

6 / des extensions Gemini pourraient arriver nativement

Deux mises à jour d'Android API sont attendues : 2e trimestre et 4e trimestre. La phase bêta s'étendra jusqu'en mars / avril. L'OS se stabilisera au printemps. Aucune date de disponibilité est mentionnée. 

Annonce officielle : https://android-developers.googleblog.com/2025/01/first-beta-android16.html

Depuis 2 ans, les paquets Python malveillants se multiplient sur PyPi. Les hackers utilisent des noms très proches pour provoquer une confusion et l'utilisateur installe le mauvais paquet ou des paquets officiels sont purement et simplement remplacés par de faux paquets. 

Le projet Quarantine (quarantaine) doit permettre aux administrateurs PyPi d'isoler un paquet incertain ou identifié comme malveillant. L'objectif est que les administrateurs PyPi disposent de rapports d'analyse sur les paquets et, si un paquet s'avère douteux, ils peuvent isoler le ou les paquets et toutes leurs versions liées. La suppression complète des paquets sera possible ainsi que le bannissement du nom du paquet. Les auteurs de Quarantine sont conscients que la suppression totale d'un paquet peut gêner les développeurs et les utilisateurs. Les créateurs des paquets seront prévenus et la procédure d'exclusion lancée.

Plus un paquet malveillant reste disponible longtemps, plus il risque de se propager. Depuis que le projet est déployé, plus de 140 paquets ont été identifiés et isolés. Un projet a été réintégré, tous les autres ont été supprimés de PyPi.

Pour en savoir plus : https://blog.pypi.org/posts/2024-12-30-quarantine/

En 2024, on avait constaté un ralentissement des hausses de salaire dans de nombreux métiers de la technologie. 2025 ne devrait pas voir de changements sauf sur certains profils. Selon le cabinet Hays, voici quelques éléments :

- développeur front, web, mobile : à partir de 38 k€, jusqu'à 63 k€ / an

- développeur backend : de 40 à 66 k€ / an

- développeur fullstack : de 42 à 73 k€ / an

Peu de surprises même si le cabinet Hayes ne fait pas de distinctions sur les technologies et les langages. Comme toujours, une compétence recherchée aurait un impact sur le salaire. Le secteur de sécurité connaîtra sans doute des hausses à cause du manque de compétences. Un pentester peut espérer 49 k€ / an au départ et dépasser les 90 k€ avec une longue expertise. 

Comme souvent, comparez les ofres. Sur glassdoor.fr, un profil peu ou prou identique, dév full stack débutant, varie de 32 à 42 k€ ! Aberration totale : une offre à 49 k€ / an pour un dev full stack avec 15 ans d'expérience. 

Certaines études ne mentionnent plus directement les écarts Ile de France - régions mais ils existent toujours. Codelynx indique des écarts de 20 % sur les profils de 1 à 2 ans d'expérience. L'écart a tendance à se réduire sur les profils experts, environ 10-12 %, au moins dans les grandes villes.

Programmez! vous propose 2 meetups à ne surtout pas rater :

- meetup #48 / 28 janvier : Jetpack Compose pour développer des UI pour les apps Android avec Christophe De Bast

Où : Le 147 Capgemini Issy-les-Moulineaux accueil à 18h30

- meetup #49 / 4 mars : Picocli, mets du Java dans ton terminal ! Avec Stéphane Philippart

Où : OVHCloud Paris, porte de Clichy. Accueil à partir de 18h30

Agenda complet et inscription : https://www.meetup.com/meetup-programmez/

Début janvier, le cabinet Robert Half a publié les tendances de recrutement pour 2025. 

1 / les entreprises veulent attirer les profils clés : "Les intentions d’embauche pour le premier semestre 2025 montrent une dynamique positive avec une progression des embauches en CDI (+7 % pour les créations de postes par rapport à Juillet 2024), en particulier dans le domaine juridique, suivi par les fonctions support spécialisées et l’IT. Les entreprises passent d’un simple maintien des effectifs à la création de postes qualifiés."

2 / IA, une valeur ajoutée dans de nombreux métiers : 44 % des entreprises prévoient des formations internes, 32 % opteront pour des formations externes. "43 % des salariés estiment que l’IA aura un impact bénéfique sur leur poste, en rendant leurs compétences plus demandées."

3 / la transparence pour attirer et retenir les profils : "En perspective de la transposition dans le droit français de la directive européenne sur la transparence des salaires, dont l’entrée en vigueur est prévue pour le 7 juin 2026 au plus tard, celle-ci devient une priorité pour les salariés et les entreprises. 55 % des salariés estiment qu'une réglementation en faveur de la transparence salariale était attendue depuis longtemps." D'autre part, la transparence du processus de recrutement est un élément important.

4 / le salaire reste important mais au-delà ce sont les autres avantages qui peuvent faire la différence : gestion du stress, journées à heures réduites, bons d'achats en ligne, bon pour le carburant, bonus ponctuels, aide à la mobilité

5 / une culture d'entreprise pour se démarquer : "Pour maintenir l’attractivité au sein de l’entreprise, certains leviers peuvent être activés comme l’équilibre vie pro/ vie perso, puisque 51 % des salariés français se déclarent plus exigeants sur cet aspect par rapport à l'année précédente.Alors que certaines entreprises reconsidèrent le télétravail acquis principalement au moment du Covid, celles qui proposent une formule de travail hybride, plébiscitée par la plupart des employés, peut faire la différence.

Source : https://www.roberthalf.com/fr/fr/a-propos/espace-presse/les-5-tendances-de-recrutement-qui-marqueront-2025

Après GitHub CoPilot Free pour Visual Studio Code, on attendait une annonce pour Visual Studio, le flagship des IDE de Microsoft. C'est désormais chose faite : Copilot est disponible gratuitement sur Visual Studio. Ce n'est pas un accès illimité mais la version gratuite donne un aperçu des possibilités :

- 2 000 complétions de codes par mois

- 50 messages chat par mois

- accès aux derniers LLM (Claude 3.5 Sonnet, GPT-4o)

On peut utiliser Copilot Edit, le chat avec @workspace et @vs, faire du bug fix. Pour utiliser Copilot free, vous devez utiliser Visual Studio 17.8 minimum et avoir GitHub Copilot installé dans l'IDE. Automatiquement, le chat Copillot détectera la possibilité à accéder à Copilot Free. Pour surveiller les limitations d'usage, regardez régulièrement Copilot Free Status.

Le patron en personne, Marc Benioff, l'a annoncé il y a quelques jours : "Salesforce ne recrutera pas d'ingénieurs logiciels cette année (= 2025)". Cette décision est motivée par les gains de productivité liés à l'IA. Par conséquent, les recrutements de développeurs sont gelés.

Les équipes en charge des services Salesforce fonctionneront à effectifs constants et se renforceront avec l'usage d'outils de GenIA et d'agents IA. L'éditeur mise surtout sur le recrutement d'un millier de commerciaux.

Des centaines de salariés avaient été licenciés en 2024.

Cependant, quand on regarde la page recrutement de Salesforce, des centaines de postes sont ouverts : développeurs, architectes logiciels, développeurs front ou back, sécurité, tech leads, etc. On peut expliquer ces offres par le besoin de remplacer des départs ou des postes vacants.

Android XR a un petit souci : les équipes Google manquent de compétences sur la réalité virtuelle et pour terminer la mise au point du système. L'éditeur avait réduit les équipes VA/VR ces dernières annoncées. Avec la sortie d'Android XR et les nouvelles ambitions, Google doit renforcer les équipes. Pour ce faire, une partie des équipes ingénierie HTC Vive rejoindra Android XR ! HTC est un fournisseur d'ingénieurs pour Google. En 2017, Google avait récupéré des centaines d'ingénieurs HTC pour créer la division Pixel.

Nous ne connaissons pas tous les détails mais HTC évoque une transaction à 250 millions $. L'opération devrait être réalisée au 1er trimestre 2025. En plus des ingénieurs et des développeurs, Google a pris une licence non exclusive des technologies XR de HTC, de quoi, compléter les fonctionnalités d'Android XR. Pour autant, HTC garde la division Vive.  

SDL, Simple DirectMedia Layer, est une librairie multiplateforme pour accéder accès audio, clavier, souris, manettes et aux matériels GPU en utilisant OpenGL et Direct3D. SDL est utilisé par des développeurs de jeux et des studios tels que Valve. Il est disponible sur Linux, iOS, Android, Windows, macOS. La librairie est écrite en C et interagit nativement avec C++ et d'autres langages tels que C# et Python. La version 3.2.0 est disponible depuis quelques jours.

Les principales nouveautés :

- mise à jour de la documentation

- nouveaux exemples et exécution directement dans le navigateur

- évolutions et nouvelles API : GPU, Dialog, Camera, Pen, etc.

- Clipboard API ajoute d'autres types de données en plus du texte

- meilleure gestion des touches des claviers

- personnalisation des claviers virtuels (Android, iOS)

- High DPI largement amélioré par rapport à la v2

La 3.2 constitue la véritable disponibilité de SDL 3. Sur la partie purement Linux, cette version apporte de nouveaux supports matériels, une amélioration sur Wayland ou encore le rendu Vulkan. 

Si vous utilisez SDL 2, reportez-vous au guide migration : https://github.com/libsdl-org/SDL/blob/main/docs/README-migration.md

Release note et sources : https://github.com/libsdl-org/SDL/releases/tag/release-3.2.0

Par Jason Merrick, SVP des produits chez Tenable

Avec l'adoption croissante du cloud par les entreprises, la sécurité de celui-ci est devenue une priorité absolue. Toutefois, entre les environnements multi-cloud, les configurations complexes, les cycles de développement rapides et la méconnaissance, voire le désintérêt, des développeurs pour la cybersécurité, la protection des infrastructures cloud est un véritable parcours du combattant. C’est là que les Cloud-Native Application Protection Platform (CNAPP) apportent une réponse globale, en facilitant une sécurité de bout en bout, du développement à la production. Elles permettent aux développeurs de travailler librement tout en assurant aux administrateurs une tranquillité d'esprit. Pour être efficaces, elles doivent cependant répondre à des critères clés et suivre les meilleures pratiques permettant de sécuriser chaque étape du cycle de vie des applications.

Légende : Intégration d’une CNAP avec AWS

Une visibilité complète grâce à une intégration profonde

Une CNAPP efficace commence par établir une connexion directe avec les API des principaux fournisseurs cloud comme Azure, AWS, GCP et OCI. Cette intégration permet une visibilité complète sur toutes les ressources cloud, y compris les workloads, les identités, les configurations réseau et les données. Grâce à cette vue d’ensemble, les organisations peuvent identifier rapidement des configurations inadéquates, des autorisations excessives et d’autres vulnérabilités qui pourraient compromettre leur environnement. Par exemple, pour AWS, il est possible de choisir entre deux modes de connexion : en "frictionless" via AWS Systems Manager Inventory et AWS Systems Manager Agent (SSM Agent), ou en utilisant le cloud connector d’AWS.

Une gestion proactive des risques via le CSPM

Une fois l’infrastructure connectée, la plateforme CNAPP repose sur deux piliers essentiels pour la gestion des risques cloud. Premièrement, le Cloud Security Posture Management (CSPM) scanne en permanence les configurations pour identifier les violations de conformité avec des standards comme le RGPD, ISO 27001 ou les benchmarks CIS. Cela garantit que les environnements respectent les meilleures pratiques en matière de sécurité. La plateforme s’interconnecte en mode sans agents avec les fichiers de configuration des infrastructures en production pour les comparer à ses bases de données de vulnérabilités et de bonnes pratiques.Le Cloud Infrastructure Entitlement Management (CIEM) analyse les permissions des identités (humaines ou machines) pour réduire les risques liés à des autorisations excessives ou inutilisées. Il permet d’appliquer des politiques d’approvisionnement "juste-à-temps" et de moindre privilège, limitant ainsi les possibilités d'accès non autorisés. L’objectif du CIEM est de minimiser les risques sans compromettre la productivité des utilisateurs.

Uniformisation au service d’une CNAPP et d’un CSPM plus intelligents

Le défi principal dans la sécurisation de l'Infrastructure as Code (IaC) réside dans le manque de standardisation des définitions d'infrastructure. Par exemple, le YAML de Kubernetes est différent du HashiCorp Configuration Language (HCL) utilisé pour Terraform. Ce manque d'uniformité complique l'évaluation et la réduction des risques. La seule manière évolutive d'obtenir de la cohérence est de normaliser les types d'IaC dans un format uniforme (Cloud as Code).Une fois les définitions d'infrastructure normalisées, des vérifications basées sur des politiques (Policy as Code) peuvent être appliquées pour identifier les violations de bonnes pratiques en matière de conformité ou de sécurité. Les solutions CSPM doivent examiner le code tout au long de son développement, sans entraver le flux de travail et l'agilité des développeurs. Open Policy Agent (OPA) est désormais le standard pour l'application des politiques. Les moteurs de politiques basés sur Python, par exemple, sont peu maniables par rapport à ceux basés sur OPA, qui utilisent le langage de requête Rego.

Une sécurité avancée pour Kubernetes

Les environnements Kubernetes, essentiels à la modernisation des infrastructures, introduisent également des défis uniques en termes de sécurité. Une CNAPP doit simplifier leur gestion grâce à une surveillance continue des ressources Kubernetes, comme les nœuds, les namespaces et les comptes de service, tout en détectant les configurations non conformes aux standards de sécurité, tels que les benchmarks CIS pour Kubernetes.

L’automatisation au service de la sécurité

Au-delà du monitoring, la force d’une CNAPP réside dans son approche automatisée de la remédiation. Lorsqu’une vulnérabilité ou une configuration incorrecte est détectée, plusieurs solutions sont possibles. Il est possible d’appliquer des correctifs automatisés intégrés dans des outils comme Terraform et CloudFormation via une intégration fluide avec des plateformes comme Jira, Slack ou ServiceNow, et des guides de correction manuelle lorsque l’automatisation n’est pas souhaitée. Cette flexibilité garantit que la sécurité ne freine pas les cycles de développement rapide.

La plupart des développeurs ne sont toutefois pas des experts en sécurité et manquent des connaissances nécessaires pour remédier aux mauvaises configurations détectées dans l'IaC. Les workflows de remédiation doivent ainsi avoir la capacité de s'intégrer à ceux des développeurs. La seule approche scalable est une solution CSPM qui génère automatiquement le code nécessaire pour résoudre les mauvaises configurations et qui crée des pull requests contre la branche principale (Remédiation en tant que Code). 

Légende : Exemple d'alerte fournie par une CNAPP concernant un conteneur vulnérable.

Assurer une remédiation plus efficace et sécuritaire en production

La plus grande distinction entre les solutions CSPM de première génération et celles de nouvelle génération réside dans leur approche de la remédiation des erreurs qui se produisent sur la production. Les solutions CSPM de première génération offraient des capacités de remédiation pour traiter un ensemble limité de risques en modifiant automatiquement les configurations en temps réel. Cette approche était toutefois risquée. Elle nécessite d’abord que l'outil CSPM soit autorisé à mettre à jour les environnements en temps réel, ce qui peut être contraire à la politique de sécurité. Ensuite, autoriser un outil à apporter des modifications automatiques aux configurations de l'infrastructure en temps réel introduit le risque d'un éventuel temps d'arrêt. Et plus important encore, toute modification apportée aux configurations d'infrastructure en temps réel crée une dérive par rapport à la base de référence de l'IaC. Cela signifie que si l'infrastructure est redéployée à partir de l'IaC, le changement effectué en temps réel sera perdu.

Les solutions CNAPP de nouvelle génération établissent quant à elle l'IaC comme la seule source de vérité. Par exemple, quand un ingénieur augmente la configuration de la mémoire d'une instance de calcul en temps réel pour améliorer les performances d'une application, le changement de configuration n'introduit pas de risque, mais l'IaC correspondant doit être mis à jour pour refléter ce changement. Cela permet d’établir une nouvelle base de référence.En cas de configuration risquée, comme la création accidentelle d'une règle dans une table de routage exposant un sous-réseau privé à Internet, la plateforme génère automatiquement le code nécessaire pour corriger la configuration. Les opérations peuvent ensuite redéployer l'infrastructure en utilisant le code mis à jour et éliminer les risques.En réunissant des outils de gestion des risques, de remédiation et de conformité dans une seule plateforme, la CNAPP réduit la complexité des environnements multi-cloud. Elle permet aux développeurs d’innover rapidement tout en assurant aux équipes SecOps un contrôle continu sur la sécurité des environnements cloud.

Légende : Des outils open-source gratuits comme Terrascan offrent aux développeurs un moyen simple de se familiariser avec les tests de Policy as Code (PaC) pour l'Infrastructure as Code (IaC).

Une nouvelle proposition Python a été ouverte mi-janver : le PEP 771. Elle a pour nom : Default Extras for Python Software Packages. 

"Le PEP 508 définit un mini-langage pour déclarer les dépendances des packages. L'une des fonctionnalités de ce langage est la possibilité de spécifier des extras, qui sont des composants optionnels d'une distribution permettant d'installer des dépendances supplémentaires lorsque ces composants sont utilisés. Ce PEP (771) propose un mécanisme permettant d'installer un ou plusieurs extras par défaut si aucun n'est explicitement spécifié." commente les créateurs. 

Pourquoi créer une nouvelle PEP pour compléter la PEP 508 ? Les créateurs motivent cette demande par les divers cas d'usage des extras et par 2 usages en particuliers que sont les dépendances recommandées mais non obligatoires et les paquets supportant les multiples front et back. Dans le 1er cas, les mainteneurs des packages utilisent souvent des extras pour les packages optionnelles. "Dans certains cas, il peut être difficile de décider quelles dépendances devraient être requises et lesquelles devraient être classées comme extras. Un équilibre doit être trouvé entre les besoins des utilisateurs typiques (qui peuvent préférer que la plupart des fonctionnalités soient disponibles « par défaut ») et ceux des utilisateurs qui souhaitent une installation minimale sans dépendances optionnelles volumineuses." précise le proposition. 

Actuellement, il est possible de déclarer des dépendances recommended à la création du paquet incluant TOUTES les dépendances non essentielles mais suggérées. Les utilisateurs sont invités à installer le maquetter AVEC le package[recommended] tout en laissant l'installation du package "normal". Pour les deux développeurs à l'origine de la PEP 771, les utilisateurs ne connaissent peu/pas la syntaxe [recommended]. Bref : avoir un mécanisme permettant d’installer les dépendances recommandées par défaut, tout en offrant un moyen pour les utilisateurs de demander une installation minimale, répondrait à ce cas d'utilisation. 

Le second cas d'usage courant concerne les extraits pour définir les différents frontends et backends et avec toutes les dépendances nécessaires pour chaque front et back. Par exemple : Qt lib en frontend nécessite PySide ou PyQt.

Tous les détails de la PEP et la proposition d'implémentation : https://peps.python.org/pep-0771/

Il est attendu : GTA 6 sera LE jeu de l'année. Son éditeur, Rockstar Games promet un jeu démesuré, un monde virtuel toujours plus grand, une expérience hors norme, une qualité graphique toujours plus réaliste, etc. Alors que le jeu vidéo traverse une mauvaise phase : licenciement de milliers de développeurs, maché tendu, peu de nouveautés soutenant les ventes, des jeux en dessous des attentes.

Le post-covid avait permis aux constructeurs de consoles et aux studios de rattraper les mauvaises années 2020-2021 mais depuis, le marché baisse. 

GTA 6 est à la fois attendu par les gamers mais paradoxalement, il peut aussi faire peur aux autres studios. A lui tout seul, GTA 6 pourrait soutenir les ventes de consoles mais dans le même temps, réduire les achats des joueurs surtout si ce 6e opus coûte plus cher. GTA 6 est un défi colossal. GTA 5 avait été un succès phénoménal, le 6 doit dépasser les attentes et le studio le sait.

Les enjeux sont tellement importants pour Rockstar Games que le budget de développement est estimé à 1 milliard de $ (minimum) ! Les jeux AAA coûtent chers entre 50 et 300 millions, GTA 6 est hors catégorie. 

Une des questions est : à quel prix sera proposé le jeu ? 70 € comme c'est plus ou moins la norme actuellement ou plutôt vers 100 € ? Depuis quelques jours, les rumeurs se multiplient et les experts du jeu vidéo s'opposent : bonne ou mauvaise chose ? Les coûts de développement sont tellement élevés qu'une hausse du prix moyen d'un jeu AAA semble inexorable. Mais dans ce cas, les studios n'auront pas droit au moindre faux pas. Plusieurs jeux AAA sont sortis avec des bugs et des dysfonctionnements majeurs pesant sur les ventes et obligeant les studios à développer d'énormes patchs pour résoudre les problèmes. 

Vite 6 a connu une série de mises à jour les 20 et 21 janvier : 6.0.8, 6.0.9, 6.0.10 et 6.0.11. Les 6.0.8 et 6.0.9 ont provoqué une succession d'erreurs d'exécution et de problèmes de DNS. Des changements de sécurité ont provoqué une casse de rétro-compatibilité. "Vite permettait à tous les sites Web d'envoyer des requêtes au serveur de développement et de lire la réponse en raison des paramètres CORS par défaut et du manque de validation sur l'en-tête d'origine pour les connexions WebSocket." précise un bulletin de sécurité du projet. Des erreurs URL ou de configuration se sont multipliés. 

Depuis le 21 janvier, la situation semble se normaliser. 

Vite est un outil front-end pour les projets JavaScripts et améliorer les développements : optimisation des builds, démarre du serveur immédiat, API typées.

Site : https://vite.dev/

Wine 10.0 est disponible ! Pour rappel, Wine permet d'exécuter des apps Windows (MS-DOS, Windows 3.x, Win32, Win64) sur un système Unix / Linux. Winelib est l'implémentation de des appels Windows API sur Unix, X11, macOS. 

La version 10.0 apporte d'importantes nouveautés :

- sur la partie ARM64 : support de l'architecture ARM64EC, support complet des modules Hybrid ARM4X, 

- nouveau pilote Vulkan supportant Vulkan 1.4.303

- Intégration desktop : nouvelle applet Desktop Control Panel, paramètres affichages sont restaurés en cas de crash

- Direct3D : le rendu GL nécessite GLSL 1.20, D3DX9 supporte de nombreuses nouvelles options

- le pilote graphique Wayland est activé par défaut

Note de version : https://gitlab.winehq.org/wine/wine/-/releases/wine-10.0