BROADCASTS.com

Published: April 29, 2024, 6:43 a.m.

Cet \xe9pisode news revient sur le rachat de Hashicorp par IBM, sur le changement de license Redis, sur le bug macos 14.4 et Java, sur la faille de de chaine d\u2019approvisionnement sur XZ. Et nous d\xe9butons notre subrique Ask Me Anything. N\u2019h\xe9sitez pas \xe0 nous soumettre vos question sur https://lescastcodeurs.com/ama.

Enregistr\xe9 le 26 avril 2024

T\xe9l\xe9chargement de l\u2019\xe9pisode LesCastCodeurs-Episode-311.mp3

News Langages

Attendez peut-\xeatre avant d\u2019upgrader macOS \xe0 la version 14.4, si vous faites du Java ! Attention le crash ! https://blogs.oracle.com/java/post/java-on-macos-14-4

• Bug \xe0 suivre https://bugs.java.com/bugdatabase/view_bug?bug_id=8327860
• \xc0 \xe9t\xe9 fix\xe9 en 14.4.1 https://blogs.oracle.com/java/post/java-on-macos-14-4
• c\u2019\xe9tait li\xe9 \xe0 un changement de comportement dans l\u2019execution de code dynamique (compil\xe9 apr\xe8s le lancement du process)
• Au lieu de recevoir signal, SIGBUS or SIGSEGV et de le g\xe9rer
• SIGKILL \xe9tait lanc\xe9 et forc\xe9ment \xe7a marchait moins bien
• Apple a corrig\xe9 le comportement

Article de Gunnar Morling sur la nouvelle API de \u201cgatherer\u201d de Java 22, pour am\xe9liorer les streams, ici en montrant une impl\xe9mentation d\u2019un \u201czipper\u201d qui assemble les \xe9l\xe9ments de 2 streams 2 \xe0 2 https://www.morling.dev/blog/zipping-gatherer/

• on a parl\xe9 des gatherers d\xe9j\xe0 qui permet de faire de faire des op\xe9rateurs intermediaries custom par rapport \xe0 ce que je JDK offre
• ici Gunnar montrer un zipper qui n\u2019est pas pr\xe9sent par d\xe9faut

Julien Ponge est Java champion, f\xe9licitations !

JFR 9 est sorti https://hirt.se/blog/?p=1477

• peut tourner dans Eclispe
• Support de arm64 pour Linux et macOS
• Dark mode !
• Des am\xe9liorations de performance
• Support graalvm native image
• Nouveau afficheur de flame graph
• G1 pause target compliance

Librairies

Nouvelle version de Jilt, l\u2019annotation processor qui impl\xe9mente les builders https://www.endoflineblog.com/jilt-1_5-released

• Evite les hacks \xe0 la Lombok
• Une nouvelle m\xe9thode toBuilder() pour obtenir un builder d\u2019un bean d\xe9j\xe0 configur\xe9
• Support des m\xe9ta-annotations, histoire de pas r\xe9p\xe9ter sur chaque type comment on souhaite d\xe9finir ses builders
• Possibilit\xe9 de mettre l\u2019annotation @Builder sur les constructeurs priv\xe9s
• Support agnostique de @Nullable quel que soit l\u2019origine de cette annotation

Infrastructure

IBM pourrait racheter Hashicorp https://www.reuters.com/markets/deals/ibm-nearing-buyout-deal-hashicorp-wsj-reports-2024-04-23/

• rien n\u2019est fait
• Hashicorp qui a \xe9t\xe9 dans la tourmente apr\xe8s le passage de Terraform en closed source
• mais les revenus sont l\xe0.
• C\u2019est fait https://www.hashicorp.com/blog/hashicorp-joins-ibm

Web

Google int\xe8gre son framework interne Wiz dans Angular https://blog.angular.io/angular-and-wiz-are-better-together-91e633d8cd5a

• Wiz est un framework interne \xe0 Google utilis\xe9 dans des produits comme Google Search ou Photos, tr\xe8s ax\xe9 sur la performance
• Wiz va amener plus de performance \xe0 Angular, tout en gardant la super interactivit\xe9 d\u2019Angular
• Wiz historiquement sur la perf et peu d\u2019interactions utilisateur, angular sur interactions riches et super experience developer
• Wiz server side rendering first et stream\xe9, ce qui \xe9limine le javascript dans le chemin de charge initial
• des fonctions comme deferred views sont venu vers angular et signals sont venu a wiz
• vont merger au fur et a mesure des prochaines ann\xe9es via Angular comme receptacle open

Data et Intelligence Artificielle

Redis aussi se met \xe0 changer sa licence pour une licence pas tout \xe0 fait open source. Un fork nomm\xe9 Valkey, anim\xe9 par des mainteneurs de Redis, rejoint la fondation Linux https://www.linuxfoundation.org/press/linux-foundation-launches-open-source-valkey-community

• AWS, Google, Oracle, Ericsson et Snap sont nomm\xe9s dans l\u2019effort
• Open Source fight back mais via des grands acteurs qui ont un interet dans la version \u201cgratuite\u201d pour le cloud
• les infos de Redis https://redis.com/blog/redis-adopts-dual-source-available-licensing/
• En gros releas\xe9 sous SSPL (comme MongoDB) ou une license sp\xe9cifique Redis
• RSAL est source available license (dont pas open source) et SSPL est pas reconnu comme open source par l\u2019OSI car elle impose des restrictions \xe0 l\u2019usage
• du coup certaines fonctions closed sources deviennent source available
• Met les cloud provider en cause du probl\xe8me, ils font de l\u2019argent et commodetize Redis sans redonner du revenu aux d\xe9veloppeurs de Redis
• est-ce que les gens seront ok de continuer a coder pour du code pas open, juste disponible
• et \xe9videmment ca casse l\u2019\xe9cosyst\xe8me redis ou open source qui voulait utiliser redis en tant qu\u2019open
• pas autoris\xe9 de faire du support sur un produit qui derive de redis sans payer une license si c\u2019est \u201ccomp\xe9titif\u201d

Elon Musk tient sa promesse et ouvre son Large Language Model, Grok https://x.ai/blog/grok-os

• Mod\xe8le de 314 milliards de param\xe8tres (Pi !)
• Architecture MoE (Mixture of Experts) qui fait qu\u2019il n\u2019y a que 25% des neurones actifs \xe0 l\u2019inf\xe9rence (efficace et rapide)
• C\u2019est un mod\xe8le \u201cpre-trained\u201d, de base, non-finetun\xe9, donc pas tr\xe8s utilisable en l\u2019\xe9tat (il faut le finetuner en mode \u201cinstruct\u201d et/ou \u201cchat\u201d pour qu\u2019il soit vraiment utilisable)
• Le code dans le repo Github, ainsi que les poids du r\xe9seau de neurones, sont OSS sous licence Apache 2
• L\u2019entrainement a \xe9t\xe9 effectu\xe9 avec JAX et Rust !
• La cut-off date est Octobre 2023

Outillage

Oracle lance son extension VSCode pour Java https://devclass.com/2024/03/19/java-22-is-out-and-oracle-is-pushing-its-own-extension-for-vs-code-over-not-very-good-red-hat-alternative/

• une extension en competition avec l\u2019extension officielle et historique Java faite par MS et Red Hat
• Oracle estime l\u2019extension pas tres bonne cafr bas\xe9e sur le compilateur Eclipse
• 33M de telechargements quand m\xeame
• La nouvelle s\u2019appuie sur javac donc proche de la verite par definition et en avance par definition de la facon dont Oracle release quand il veut
• align\xe9 avec le timing de simplification de Java pour les d\xe9butants

S\xe9curit\xe9

R\xe9mi Forax nous partage cet article sur les puces M1/M2/M3 d\u2019Apple, qui utilisent un nouveau \u201cprefetcher\u201d un peu trop agressif qui permet de leaker les cl\xe9s utilis\xe9es lors des op\xe9rations cryptographiques : https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips/

• comme d\u2019hab pour les side channels attaques de de type c\u2019est su un autre process peut tourner sur la machine et \xeatre adversaire
• li\xe9 a un data dependent memory fetcher
• dans ce cas, un champ est soit une valeur, soit un pointeur et Appel pre-fetch dans le cas o\xf9 c\u2019est un pointeur
• et c\u2019est attaquable en injectant des variables qui ressemblent a des pointeurs vers des donn\xe9es control\xe9es et on peut en d\xe9duire la cl\xe9s secrete si cette variable et la cl\xe9 ont des op\xe9rations
• mais le code peut d\xe9sactiver cette optimisation si j\u2019ai bien compris

L\u2019histoire d\u2019une porte d\xe9rob\xe9e dans le projet open source XZ qui a failli mettre \xe0 mal toutes les connexions sous Open SSH, avec pour t\xe2che de fond la fragilit\xe9 de projets open source maintenu par des individuels b\xe9n\xe9voles \xe0 bout de souffle https://uwyn.net/@rusty@piaille.fr/112190942187106096

• ArsTechnica d\xe9taille l\u2019histoire https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
• https://www.minimachines.net/actu/la-menace-xz-ou-comment-le-ciel-a-failli-tomber-sur-nos-tetes-125967

Les impacts de laisser trainer son secret client dans les connections Keycloak https://medium.com/@benjaminbuffet/dis-keycloack-cest-grave-si-je-laisse-tra%C3%AEner-mon-client-secret-d371a0f657ee

• un article qui explique les raison plut\xf4t que de dire c\u2019est mal car c\u2019est secret
• quand on utilise un mot de passe du client (et pas un JWT sign\xe9 ou une cl\xe9 priv\xe9)
• si ca se perd, c\u2019est l\u2019usurpation de l\u2019identit\xe9 d\u2019un utilisateur via son usage de client qui est en jeu (donc jou\xe9 en tant que)
• ou usurper l\u2019identit\xe9 client en tant que telle (plus facile)
• et quelques conseils pour r\xe9duire ce risque

Loi, soci\xe9t\xe9 et organisation

JavaOne serait de retour pour de vrai ? https://www.oracle.com/javaone/

• En mars 2025, c\u2019est dans un an, on a le temps !
• \xc7a se d\xe9roulera sur le campus d\u2019Oracle dans la Silicon Valley
• peu d\u2019infos et de d\xe9tail, pas sur que cela soit le JavaOne de nos souvenirs.

Des infos concretes sur l\u2019IA souveraine Albert https://x.com/emile_marzolf/status/1783072739630121432

AMA, Ask Me Anything

Hamza:

\u201cComment \xeatre un rockstar dans le domaine, s\u2019il vous pla\xeet une r\xe9ponse d\xe9taill\xe9e sur le plan d\u2019action veille, auto formation, side projets \u2026\u2026 depuis vos exp\xe9riences personnelles. Merci d\u2019avance\u201d

Conf\xe9rences

La liste des conf\xe9rences provenant de Developers Conferences Agenda/List par Aur\xe9lie Vache et contributeurs :

• 3-4 mai 2024 : Faiseuses Du Web 3 - Dinan (France)
• 8-10 mai 2024 : Devoxx UK - London (UK)
• 16-17 mai 2024 : Newcrafts Paris - Paris (France)
• 22 mai 2024 : OpenInfra Day France - Palaiseau (France)
• 22-25 mai 2024 : Viva Tech - Paris (France)
• 24 mai 2024 : AFUP Day Nancy - Nancy (France)
• 24 mai 2024 : AFUP Day Poitiers - Poitiers (France)
• 24 mai 2024 : AFUP Day Lille - Lille (France)
• 24 mai 2024 : AFUP Day Lyon - Lyon (France)
• 28-29 mai 2024 : Symfony Live Paris - Paris (France)
• 1 juin 2024 : PolyCloud - Montpellier (France)
• 6 juin 2024 : WAX 2024 - Aix-en-Provence (France)
• 6-7 juin 2024 : DevFest Lille - Lille (France)
• 6-7 juin 2024 : Alpes Craft - Grenoble (France)
• 7 juin 2024 : Fork it! Community - Rouen (France)
• 11 juin 2024 : Cloud Toulouse - Toulouse (France)
• 11-12 juin 2024 : OW2con - Paris (France)
• 11-12 juin 2024 : PGDay Lille - Lille (France)
• 12-14 juin 2024 : Rencontres R - Vannes (France)
• 13-14 juin 2024 : Agile Tour Toulouse - Toulouse (France)
• 14 juin 2024 : DevQuest - Niort (France)
• 18 juin 2024 : Mobilis In Mobile 2024 - Nantes (France)
• 18 juin 2024 : BSides Strasbourg 2024 - Strasbourg (France)
• 18 juin 2024 : Tech & Wine 2024 - Lyon (France)
• 19-20 juin 2024 : AI_dev: Open Source GenAI & ML Summit Europe - Paris (France)
• 19-21 juin 2024 : Devoxx Poland - Krakow (Poland)
• 26-28 juin 2024 : Breizhcamp 2024 - Rennes (France)
• 27 juin 2024 : DotJS - Paris (France)
• 27-28 juin 2024 : Agi Lille - Lille (France)
• 4-5 juillet 2024 : Sunny Tech - Montpellier (France)
• 8-10 juillet 2024 : Riviera DEV - Sophia Antipolis (France)
• 6 septembre 2024 : JUG Summer Camp - La Rochelle (France)
• 6-7 septembre 2024 : Agile Pays Basque - Bidart (France)
• 19-20 septembre 2024 : API Platform Conference - Lille (France) & Online
• 26 septembre 2024 : Agile Tour Sophia-Antipolis 2024 - Biot (France)
• 2-4 octobre 2024 : Devoxx Morocco - Marrakech (Morocco)
• 7-11 octobre 2024 : Devoxx Belgium - Antwerp (Belgium)
• 10 octobre 2024 : Cloud Nord - Lille (France)
• 10-11 octobre 2024 : Volcamp - Clermont-Ferrand (France)
• 10-11 octobre 2024 : Forum PHP - Marne-la-Vall\xe9e (France)
• 11-12 octobre 2024 : SecSea2k24 - La Ciotat (France)
• 16 octobre 2024 : DotPy - Paris (France)
• 17-18 octobre 2024 : DevFest Nantes - Nantes (France)
• 17-18 octobre 2024 : DotAI - Paris (France)
• 30-31 octobre 2024 : Agile Tour Nantais 2024 - Nantes (France)
• 31 octobre 2024-3 novembre 2024 : PyCon.FR - Strasbourg (France)
• 6 novembre 2024 : Master Dev De France - Paris (France)
• 7 novembre 2024 : DevFest Toulouse - Toulouse (France)
• 8 novembre 2024 : BDX I/O - Bordeaux (France)
• 13-14 novembre 2024 : Agile Tour Rennes 2024 - Rennes (France)
• 28 novembre 2024 : Who Run The Tech ? - Rennes (France)
• 3-5 d\xe9cembre 2024 : APIdays Paris - Paris (France)
• 4-5 d\xe9cembre 2024 : Open Source Experience - Paris (France)
• 22-25 janvier 2025 : SnowCamp 2025 - Grenoble (France)
• 16-18 avril 2025 : Devoxx France - Paris (France)

Nous contacter

Pour r\xe9agir \xe0 cet \xe9pisode, venez discuter sur le groupe Google https://groups.google.com/group/lescastcodeurs

Contactez-nous via twitter https://twitter.com/lescastcodeurs
Faire un crowdcast ou une crowdquestion
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Tous les \xe9pisodes et toutes les infos sur https://lescastcodeurs.com/