LCC 247 - Cette fois-ci nous n'avons pas perdu Guillaume!
Posté le 18/01/2021Dans ce premier épisode news de l’année Guillaume est de retour et sans accrocs (enfin presque). Accompagné d’Arnaud ils parcourent les nouvelles techniques de fin 2020, début 2021. Ils nous parlent de Java (Hashcode, Loom, records), des news Spring (SpringBoot, SpringCloud, JHipster), du changement de license chez Elastic, de CSS (Bootstrap, Tailwind.CSS), de Gradle et d’autres sujets : Sécurité, Architecture et Méthodologie.
Enregistré le 15 janvier 2021
Téléchargement de l’épisode LesCastCodeurs-Episode-247.mp3
News
Langages
- Comment les hashcodes sont générés en Java. Et non ce ne sont pas les adresses mémoires. Le code utilises un modèle sans contention et très rapide. Quasi comme celui qui ramène une valeur constante.
- Utiliser les Java Records avec Jackson (et Spring Boot) (Mais pas pour la persistence avec JPA/Hibernate)
- Project Loom & Jetty: 1000000 Virtual Thread oui mais pas avec une stack de taille décente. Et ça fait de la poubelle à collecter. loom ne remplace pas l’usage des thread pool pour la contention de resources autre que les threads (DB connection, mémoire, CPU). Les VirtualThreads ne sont pas encore optimisées pour les ThreadLocals. Donc VirtualThread pas forcément l’unité de montée en charge naturelle. (Une partie 3 de ce blog est prévue dans quelques semaines)
Librairies
- JHipster 7.0.0 avec pas mal d’incompatibilités.
- Spring Cloud Contract 3.0: Incremental Test Generation for Maven, Resolves Credentials from settings.xml, Rewrite Groovy to Java, Allow to Extend Contract & Stubs, New [Custom] Mode of Test Generation, Experimental GRPC Support, GraphQL Support, Stub Runner Boot Thin JAR, Messaging Polyglot Support, Messaging with Existing Middleware, Gradle Plugin rewrite.
- Spring Cloud 2020.0.0, enfin la version compatible avec Spring Boot 2.4.x. Nouveau versioning comme annoncé il y a quelques mois.. Attention à la fonctionnalité de bootstrap qui est désactivée par défaut. Attention si vous utilisez Spring Cloud GCP le projet a déménagé et n’est plus dans le release train
- TOML 1.0 est dispo et TOML Schema en route.
Infrastructure
- Elastic suit MongoDB et remplace la license ASF 2.0 pour Elasticsearch et Kibana au profit d’un dual licensing Elastic License + SSPL. Tout comme mongo le but est de se protéger des AWS et consorts en empêchant le hosting sans recontribution vers la « communauté »
Web
- Bootstrap 5.0.0 passe en beta 1.
- Le CSS version Bootstrap (approche composants) vs le CSS version Tailwind.CSS (approche boite à outils).
Outillage
- Gradle 6.8 est la dernière release avant la version 7. La version 6.8 apporte d’importantes améliorations des performances dans la version Kotlin, des améliorations sur les caches (notamment les plugins checkstyle, pmd, codenarc, jacoco). Améliorations sur la feature toolchain, les composites builds et la gestion des dépendances …
- Le problème avec Gradle article de Cédric Champeau, dev Gradle en réponse à Le problème avec Gradle de Bruce Eckel. On y parle des principes de bases (taches et dépendances), configuration vs programmation du build, Groovy, DSL, de faire la même chose de 36 manières, de magie et de cycle de vie
Architecture
- un retour intéressant sur Amazon qui est passé de Sun à Linux / x86 pendant la bulle de 2000 au lieu de rester dans son modèle existant. Ça explique un choix intéressant : en cas de crise, soit tu pousses à te réinventer avec le risque d’échouer et de couler rapidement, soit tu optimises ce que tu as avec le risque d’être balayé « a petit feu ». Amazon n’avait plus que quelques trimestres devant eux et ont arrêté les features pendant la transition.
Méthodologies
- It’s pull from production, not push to production avec CDN sur le front et serverless sur le back, la prod est juste un changement de DNS. Toutes les branches peuvent être en prod.
main
n’est pas la prod mais l’accord des fonctionnalités partagées. - Comment prendre des notes … pour ne pas faire un cimetière de notes mais réellement un référentiel personnel de connaissances.
Sécurité
- Attaque SolarWinds. Une attaque étatique hack plusieurs agences américaines, microsoft et 18000 autres entités. Des articles commencent à cibler Jetbrains Teamcity comme vecteur d’attaque utilisé pour infester SolarWinds mais JetBrains s’en défend (article 1, article 2)
Conférences
- Web Stories le 5/2 en ligne https://webstoriesconf.com/
- Le Devfest Lille le 11/6 en présentiel https://devfest.gdglille.org/
- Devoxx France du 30 juin au 2 juillet en présentiel https://www.devoxx.fr
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 246 - Spécial Loi Société et Organisations avec Agnès Crepet
Posté le 12/01/2021Dans cet épisode d’un format inédit, Audrey et Emmanuel reçoivent Agnès Crepet, directrice technique chez Fairphone, pour discuter de l’actualité de ce qui d’habitude fait l’objet d’une rubrique dans les épisodes news mais qui commence à prendre beaucoup de place : la partie loi, société et organisations. Ça discute télétravail, cryptomonnaies, souveraineté numérique européenne, taxe numérique, protection des données, haine en ligne et surveillance de masse. On attend vos retours pour savoir s’il faut en faire d’autre de ce format (ou pas).
Enregistré le 6 janvier 2021
Téléchargement de l’épisode LesCastCodeurs-Episode-246.mp3
Télétravail
Les demandes de surveillance des employés ont augmenté de 51% depuis le début de la pandémie
- Télétravail : la CNIL interdit les keyloggers et tous les outils de surveillance déloyale du salarié
- Télétravaillez, vous êtes fliqués
- Les questions-réponses de la CNIL sur le télétravail
- hausse de 87 % des recherches sur les outils de monitoring des employés en avril et encore 71 % plus élevées que la normale en mai
- tableau qui récapitule tous les outils qui peuvent être utilisés ainsi que leur différentes fonctionnalités
- 81 % d’entre eux proposent du keystroke logging qui permets à l’employeur de vérifier tous les clics effectués, toutes les touches du clavier frappées et d’avoir ainsi accès à toutes les conversations. Certains proposent même la capture de mots de passe !
- la seconde problématique posée par ces outils c’est qu’ils proposent pour la plupart des réductions sur les abonnements à l’année, ce qui menace de rendre leur usage permanent
- La CNIL a elle enregistré une hausse des questions liés à ces outils et a donc publié une liste de question réponses sur le sujet
- 2 choses sont à retenir :
- l’employeur ne peut pas placer ses salariés sous surveillance permanente, sauf cas exceptionnels liés à la nature de la tâche, comme la sécurité de sites ou de produits sensibles
- il faut toujours que le salarié et que le CSE, le Comité économique et social, soient informés au préalable de la mise en place d’un outil de surveillance. Cela correspond à l’obligation de loyauté de l’employeur vis-à-vis de ses salariés. Il ne doit pas chercher à les piéger.
- Sont donc formellement interdits les partages permanents d’écran, l’utilisation de « keyloggers », la surveillance constante via des dispositifs vidéo ou audio ou encore « l’obligation pour le salarié d’effectuer très régulièrement des actions pour démontrer sa présence derrière son écran ».
- En matière de visioconférence, la CNIL rappelle que l’employeur ne peut obliger son salarié à activer sa webcam (sauf cas exceptionnels, comme une démonstration produit par exemple) et qu’une « participation via le micro est suffisante ». Avant de conclure qu’en cas de surveillance excessive des salariés, elle dispose d’une « chaîne répressive complète lui permettant de mettre en demeure les organismes » et de prononcer des sanctions.
Cryptomonnaies souveraines vs initiatives privées
Le Libra pourrait se lancer dès janvier dans une version «a minima»
- avec des objectifs revus à la baisse suite au tollé des banques centrales et des autorités financières
- la première version serait un actif arrimé uniquement au dollar («stable coin») sous réserve d’avoir obtenu d’ici là une licence en tant que système de paiement de l’autorité suisse de surveillance des marchés financiers, la FINMA, au lieu d’être arrimés à un panier de devises
- voir ep 214 et 218 pour l’historique
La BCE a lancé une consultation publique sur l’Euro numérique
- consultation lancée le 1er novembre, et ouverte jusqu’au 21 janvier 2021.
- inscription sur la page dédiée pour recevoir le lien
- l’euro numérique serait la forme électronique de l’euro émise directement par la BCE
- ce ne serait pas un remplacement à l’euro fiduciaire en net recul mais un complément
- plusieurs raisons :
- hausse de la demande de paiements électroniques dans la zone euro
- contrer le lancement des initiatives privées
- anticiper un évènement extrême qui pourrait mettre à mal les moyens déjà existant
- la décision ou non de poursuivre le projet reviendra au conseil des gouverneurs de la BCE mi 2021
Le Japon annonce la création d’une cryptomonnaie souveraine pour 2021
- 30 grandes entreprises participent à la création de cette monnaie
- objectif avoir une monnaie qui peut rendre les différentes plateformes mutuellement compatibles, aucune de ses plateformes numériques n’étant assez solide pour surpasser les paiements en espèces
- sera soumise à l’approbation des citoyens
- la Chine a déjà fait des tests au printemps dernier et prévois un déploiement en 2022
Souveraineté numérique européenne (en mode fail)
BPI France soutient AWS pour équiper les sociétés françaises
Taxe numérique
Cette fois c’est sûr, la France taxera les géants du numérique en décembre
- La taxe GAFA en panne faute de consensus à l’OCDE
- Taxe GAFA : comme la France, ces pays asiatiques taxent déjà les géants de la Tech
-
Netflix décide de payer ses impôts en France
- la taxe GAFA initiée en décembre 2018, déjà prélevée en 2019, l’état avait accepté de suspendre le paiement des acomptes dus en 2020 pour donner sa chance au processus de l’OCDE.
- prélèvement de 3 % des revenus réalisés en France par les entreprises dont le chiffre d’affaires est supérieur à 25 millions d’euros dans l’Hexagone et à 750 millions d’euros dans le reste du monde
- application suspendue le temps de trouver un accord au niveau de l’OCDE pour ne pas déclencher une guerre commerciale (mais le risque c’est que les GAFAM fasse porter la taxe sur les clients également)
- cet accord n’a toujours pas été trouvé mais il se pourrait que l’UE créée sa propre taxe numérique en 2021 si les négociations n’aboutissent pas.
- Des pays asiatiques comme la Thaïlande, l’Indonésie, la Malaisie ou Singapour ont également commencé à mettre des taxes en place, preuve que la pratique de l’évasion fiscale des géants du numériques agacent partout
- Netflix de son côté a pris les devants dans plusieurs pays d’Europe (France, UK, Espagne) en décidant de transférer les abonnements de ces pays aux entités locales pour que les impôts soient payés en fonction du nombre d’abonnés par pays, et plus aux Pays-Bas.
Protection des données
Amende record contre Amazon et Google : le coup de semonce de la CNIL
- la CNIL a imposé, le 10 décembre, des amendes de 100 et 35 millions d’euros contre Google et Amazon pour non-respect du RGPD
- jusqu’en septembre 2020, des cookies étaient déposés pendant la navigation sans demande de consentement de l’utilisateur
- le montant de l’amende est calculée en fonction du chiffre d’affaires de la maison mère mais aussi du nombre de personnes concernées par le manquement.
- à l’avenir les amendes pourraient donc être beaucoup plus lourdes
L’Europe valide le rachat de Fitbit en soumettant Google à des engagements sur 10 ans
- Le rachat est validé à certaines conditions que Google doit respecter pour une période de surveillance de 10 ans, potentiellement renouvelable une fois et pour laquelle la Commission Européenne exige un mandataire.
- ils concernent la publicité, le maintien de l’accès gratuit à l’API pour des applications tierces et une série d’engagements concernant les API Android pour garantir leur accès dans les mêmes conditions qu’aujourd’hui.
- Plus spécifiquement sur la publicité :
- l’interdiction d’utiliser au niveau européen les données de santé et de bien-être à des fins de publicité, lorsque ces informations proviennent des produits Fitbit (y compris les données entrées manuellement ou obtenues par des capteurs, dont le GPS) ;
- la séparation technique des données relatives à la clientèle Fitbit, de manière à les isoler de toute autre donnée de Google utilisée à des fins publicitaires — Bruxelles évoquant ici le principe d’un silo de données ;
- le choix laissé aux individus d’autoriser ou refuser que leurs données de santé et de bien-être puissent être utilisées par d’autres services de Google (comme la recherche, YouTube, Maps ou Assistant).
[Le Digital Services Act et Digital Market Act en 6 questions])(https://siecledigital.fr/2020/12/16/digital-services-act-en-6-questions/)
- Le Digital Services Act Package
-
un texte qui gêne avant même son débat
- le 15 décembre la Commission Européenne (CE) a présenté son projet de loi de réglementation de l’espace numérique en deux parties : le Digital Services Act, et le Digital Market Act.
- le DSA concerne les contenus publiés en ligne, et veut pousser les plateformes à prendre leurs responsabilités face aux contenus qu’elles publient mais aussi à justifier ceux qu’elles censurent
- il concerne toutes les plateformes sans exception
- le DMA porte lui sur les marchés numériques et plus précisément elle forcera les plateformes à rendre des comptes sur le fonctionnement de leurs algorithmes et l’utilisation qu’elles font des données privées. Le but est de s’assurer que ces entreprises n’abusent pas de leur position dans certaines activités pour étendre leur domination à des marchés connexes. (exemple : android et google)
- il portera sur les plateformes qui ont un impact significatif sur le marché (chiffres d’affaires de plus de 6,5 milliards d’euro, ou capitalisation boursière ou valorisation à 65 milliards), qui ont au coeur de leur business une plateforme qui permets aux utilisateurs commerciaux de toucher des utilisateurs finaux (10 % de la population européenne soit 45 millions d’utilisateurs actifs mensuels), et ceux qui jouissent d’une position affirmée et durable qui risque donc de durer dans le temps
- comment va se passer la régulation ?
- mise en place de silo pour empêcher la mutualisation de données entre les services de l’entreprise (ex whatsapp et facebook) sauf autorisation de l’utilisateur final
- obligation de ne pas bloquer l’accès à une plateforme, à un utilisateur commercial ou final qui ne serait pas inscrit à cette même plateforme
- Donner aux annonceurs et aux éditeurs à qui le gatekeeper offre des services publicitaires, à leur demande, le prix payé par l’annonceur, ou l’argent récolté par l’éditeur.
- les GAFAM étant de plus en plus accusées d’empêcher l’émergence de compétiteurs en les rachetant, ces grandes entreprises devront désormais notifier à Bruxelles leurs projets d’acquisition en Europe
- quelles seront les sanctions ?
- en fonction du chiffre d’affaires et du projet de loi : 10 % dans le DMA et 6 % dans le DSA.
- en cas de récidive le démantèlement pourrait être promulgué
- objectif : adoption en 2022, mais sachant qu’il a fallu 4 ans pour le RGPD c’est pas gagné
- bien entendu les GAFAM sont vent debout contre le texte et un document interne de Google assez virulent et projetant de semer la zizanie entre les services européens a d’ailleurs fuiter jusqu’à Thierry Breton (Commissaire européen à l’Industrie, au Marché intérieur, au Numérique, à la Défense et à l’Espace) obligeant Sundar Pichai à s’excuser en pleine réunion
Des articles de la loi Avia censurée seront réintroduits dans le projet de loi « Séparatisme »
- le Conseil Constitutionnel ayant repéré de multiples atteintes à la liberté d’expression dans le projet de loi dit “contre la haine en ligne” l’avait vidé de sa substance
- le secrétaire d’État au numérique Cédric O a donc plaidé pour une réintroduction de ceux-ci, en plaidant une anticipation du Digital Services Act, ce qui est un moyen de faire pression sur la réforme à venir
- « L’obligation de moyens est au coeur de la proposition européenne de Digital Services Act. Nous pourrions la traduire par anticipation dans le projet de loi sur les séparatismes, compte tenu de l’urgence » a-t-il déclaré le 9 novembre.
Vie privée : pourquoi Facebook se sert des PME et des médias pour attaquer Apple et iOS 14
- La dernière mise à jour d’iOS 14 renseigne de façon très détaillée tout ce à quoi a accès une application.
- Dans le cas de Facebook, la liste est quasi interminable
- Comme le réseau sait qu’il n’a pas à attendre de compassion s’il se plaint de son sort, il a attaqué Apple mais sans se mettre en avant : il a pris la défense des petits commerçants et des médias gratuits sur le web.
- Selon Dan Levy, le vice-président chargé de la publicité et du business chez Facebook, la nouvelle politique d’Apple obligera les entreprises à se tourner vers des abonnements et des solutions de paiement inclus dans l’application pour obtenir des revenus, ce qui signifie qu’Apple en profitera et que de nombreux services gratuits devront commencer à être facturés ou quitter le marché »
- De son côté Apple estime que « Les utilisateurs doivent savoir quand leurs données sont collectées et partagées avec d’autres applications et sites web — et ils doivent avoir le choix de l’autoriser ou non. La transparence du suivi des applications dans iOS 14 n’oblige pas Facebook à modifier son approche du suivi des utilisateurs et de la création de publicités ciblées, elle exige simplement qu’il donne le choix aux utilisateurs ».
-
La bataille pourrait se poursuivre juridiquement car ce n’est pas la seule disposition prise par Apple qui pose problème aux annonceurs, il y a également la nouvelle mesure d’anti pistage d’iOS 14 qui prévoit de revoir les conditions d’accès à l’IDFA (« IDentifier For Advertisers »), un identifiant aléatoire attribué à chaque appareil, et qui a été retardée
- Mozilla a mis en ligne une pétition pour soutenir Apple
L’OMC s’inquiète du protectionnisme numérique
- l’OMC fait le constat que la pandémie a accéléré la mondialisation numérique (solutions de paiement électronique par ex) mais qu’au cours des derniers mois les conflits se sont multipliés (États-Unis et Huawei, Washington qui sors des discussions à l’OCDE sur la taxe numérique, l’Inde qui bloque plusieurs applis chinoises…)
- elle s’inquiète du protectionnisme numérique qui menace la libre circulation des données alors qu’elles sont devenues indispensables à l’économie mondiale et que dépendent d’elles des secteurs d’activités entiers
- elle parle d’émergence d’une quatrième révolution industrielle qui « transforme nos façons de vivre et de travailler » et de « servicification » (ex-Siemens qui ne fait plus que des appareils industriels mais aussi des services de maintenance avec les capteurs installés dessus)
- elle s’inquiète aussi de l’émergence de géants en position dominante et souligne la faible part de l’emploi dans leur valeur ajoutée.
- elle s’inquiète aussi du fossé numérique qui existe entre les pays développés, émergents et à bas revenus dûs au coût de l’accès à la data
- elle appelle les pays à harmoniser leurs standards enb terme de protection des données afin d’éviter la multiplication des politiques restrictives qui en matière numérique ont la particularité de ne pas être tarifaires mais sous forme de restrictions au transfert de données.
- certains groupes de reflexion militent pour la création de zones commerciales numériques, où les échanges ne seraient autorisés qu’entre pays membres qui adhèrent aux mêmes règles quant à la protection des données et à la sécurité et d’autres pour la création d’une alliance technologique, sur le modèle du G7, pour élaborer des règles communes dans l’espace numérique
Haine en ligne, désinformation et liens entre politiques et réseaux sociaux
La « cour suprême » de Facebook a (enfin) sélectionné de premiers cas à trancher
- Il s’agit d’un conseil de personnalités extérieures, annoncé par Facebook depuis début 2018 mais toujours pas opérationnel qui va évaluer, sous quatre-vingt-dix jours, si le réseau social a eu raison de dépublier certains contenus litigieux.
- Le premier concerne la France et la COVID-19, les autres concerne la republication de propos du premier ministre malaisien menaçant les citoyens français au nom de la défense des musulmans, huit photos de poitrines féminines montrant des symptômes de cancer du sein retirées pour « nudité », une citation du nazi Joseph Goebbels publiée pour « dénoncer » la politique du président américain Donald Trump et deux autres qui concernent le peuple ouïgour et le conflit au Haut-Karabakh entre l’Azerbaïdjan et l’Arménie.
- Les litiges ont été sélectionnés parmi 20 000 contestations envoyées au conseil de surveillance de Facebook (son nom officiel). Les tiers peuvent les commenter pendant huit jours. Puis des panels de cinq membres de la cour (juristes, membres d’ONG…) pourront obtenir du contexte local ou une traduction auprès d’experts. Et diront s’il faut les republier.
- C’est un test majeur pour cette structure, qui doit encore prouver son utilité et qui a choisi pour commencer des cas où des principes sont en jeu et qui influenceront la façon dont Facebook applique ses règles de modération d’après Helle Thorning-Schmidt, ex-première ministre danoise, dirigeante de l’ONG Save the Children et l’une des quatre présidentes du conseil.
- Un autre point est très attendu : la possibilité de juger des contenus laissés en ligne par le réseau, accusé de laxisme concernant des messages de haine ou du président Trump, ce qui devrait être possible début 2021 d’après Mme Thorning-Schmidt
Nombreux départs à Facebook après les élections américaines
- un des data scientist de l’équipe violence et incitation à la haine a quitté l’entreprise après 2 ans et dans son mot de départ il explique qu’il devient embarrassant de travailler pour Facebook
- même s’il est très content du travail accompli par son équipe, il estime que la tâche d’arrêter la haine et la violence sur Facebook est inachevable du fait de certaines forces en interne qui les promeuvent.
- d’après les données sur lesquelles il a travaillé en interne, 1 contenu sur 1000 publié enfreint les règles de Facebook sur les discours à la haine, mais même avec l’aide de l’IA et de modérateurs tiers, Facebook supprime moins de 5 % de tous les contenus haineux publiés sur son réseau.
- depuis mai, beaucoup d’employés ont quitté l’entreprise au motif qu’ils avaient honte de l’impact que leur entreprise avait sur la société ou parce qu’ils étaient inquiet de l’inaction de l’entreprise dans la modération des contenus haineux ou de désinformations
- plus inquiétant, dans les dernières semaines de l’année, au moins 4 employés impliqués dans des travaux critiques autour de la baisse de la violence et de l’incitation à la haine, l’élaboration d’une politique de réduction des discours haineux et le tracking de contenu qui enfreignent les règles de l’entreprise ont quitté la compagnie
- ce manque d’action serait en partie volontaire et du, aux États-Unis en tout cas, au fait que beaucoup des posts menant à des interactions haineuse proviennent de pages affiliées de près ou de loin aux Républicains, et que l’entreprise ne souhaite pas se les mettre à dos
- preuve à l’appui avec un outil interne le “hate Bait dashboard”, donc le tableau de bord des pages incitant à la haine, qui liste les pages qui aux US ont concentrées le plus grand volume d’interaction enfreignant les règles sur les discours haineux
- toutes les pages sont associées à des personnalités ou des marques conservatrices dont entre autre Breitbart News, Fox News, le compte de campagne de Donald Trump et son compte personnel.
- c’est le cas par exemple du post de Trump déclarant que « Quand les pillages commencent, les coups de feu aussi » au moment des émeutes après le meurtre de George Floyd, qui n’a jamais été censuré malgré les vives polémiques qu’il engendrait.
- la recommandation des data scientist démissionnaires est de recruter beaucoup plus de monde sur les parties éthiques et lutte contre l’incitation à la haine, et de moins se reposer sur l’IA, même s’ils reconnaissent eux-mêmes que celle-ci a permis d’améliorer la situation dans plusieurs cas et notamment au moment des élections américaines.
- À noter que tous les ex-employés mais aussi les employés encore en poste qui ont témoignés ont demandé à ce que leur anonymat soit respecté afin d’éviter des représailles.
- À noter également que tous les mots de départ postés par ces data scientist ont été supprimés par facebook de l’outil interne où ils sont traditionnellement postés
- Timnit Gebru, chercheuse qui travaille sur les questions d’éthique liées à l’intelligence artificielle (IA) et cofondatrice du groupe Black in AI dont l’objectif est d’accroitre la présence de personnes noires dans le domaine de l’IA, a annoncé sur Twitter début décembre que sa hiérarchie avait accepté sa démission. Sauf qu’elle ne l’a jamais soumise
- Ce licenciement intervient après que la chercheuse se soit plainte, auprès d’un groupe interne, du fait que l’entreprise « réduise au silence les voix marginalisées ». Selon elle, Google lui a reproché certains « aspects » du message envoyé à ce groupe, qui seraient « en contradiction avec ce qu’on attend d’un manageur ».
- elle aurait également reçu l’ordre de rétracter un article scientifique sur l’éventuelle utilisation d’une IA pour imiter des propos haineux ou biaisés.
- D’après le chef du département IA, le texte « présentait des lacunes importantes qui nous empêchaient d’être à l’aise avec l’idée d’y associer le nom de Google” mais sans plus de détail
- Une pétition a été mise en ligne pour demander plus d’explications concernant cet article ainsi qu’un engagement « sans équivoque » de Google à respecter l’intégrité scientifique et la liberté académique.
- Son licenciement intervient alors que Google a été sommé, mercredi, par une agence fédérale américaine de répondre à des accusations de surveillance à l’encontre de ses employés militants.
- Il s’agit d’employés qui ont voulu monter un syndicat et ont engagés d’autres collègues à les rejoindre.
- Google n’est pas le seul à s’oppose à la création de syndicat en son sein, Facebook et Amazon ont déjà été épinglés pour les mêmes problèmes.
Surveillance de masse & reconnaissance faciale
Projet de loi sécurité globale : L’assemblée nationale vote pour la technopolice
- Analyse de la loi Sécurité Globale par la Quadrature du net
- La proposition de loi relative à la sécurité globale est une proposition de loi française des députés LREM Alice Thourot et Jean-Michel Fauvergue (ancien patron du RAID) déposée à l’Assemblée nationale le 20 octobre 2020.
- Ce projet de loi a mis des dizaines de milliers de personnes dans la rue. Pourtant elle n’est qu’une toute petite partie de l’iceberg sécuritaire.
- Elle porte sur le renforcement des pouvoirs de la police municipale, l’accès aux images des caméras-piétons, la captation d’images par les drones et la diffusion de l’image des policiers (art 24). Le texte, soutenu par le gouvernement et les principaux syndicats policiers, fait l’objet d’une très forte opposition de la part des sociétés de journalistes, des organismes publics nationaux et internationaux et des associations de défense des libertés publiques.
- À la demande du gouvernement, la proposition de loi suit la procédure accélérée ; elle est examinée à l’Assemblée nationale du 17 au 20 novembre 2020 et adoptée le 24 novembre. Son examen au Sénat est prévu en janvier 2021.
Le Conseil d’État interdit l’usage de drones pour filmer des manifestations
- le Conseil d’État avait été saisi par la Quadrature du Net
- Dans sa décision rendue publique le 22 décembre il juge que « Le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones
- Il a décidé trois actions, au-delà des frais administratifs engagés que le ministère doit payer :
- Annuler l’ordonnance du 4 novembre du juge des référés du tribunal administratif de Paris (c’est elle que la Quadrature a utilisée pour faire monter l’affaire jusqu’au Conseil d’État).
- Suspendre la décision du préfet de police de Paris sur l’usage de drones pour la surveillance de rassemblements de personnes sur la voie de police
- Demander au préfet d’arrêter sans délai ces mesures de surveillances, dans le cas où elles seraient encore utilisées.
Décrets PASP : fichage massif des militants politiques
-
Fichage politique et religieux : 7 questions sur l’extension des fichiers de renseignement
- Jusqu’ici les fichiers de renseignement de la police et de la gendarmerie ne concernaient que des personnes physiques considérées comme dangereuses par les autorités.
- Prévention des atteintes à la sécurité publique (PASP -> Police)
- Gestion de l’information et prévention des atteintes à la sécurité publique (GIPASP -> gendarmerie)
- Enquêtes administratives liées à la sécurité publique (EASP).
- Depuis la publication de 3 décrets le 4 décembre 2020 la liste des personnes fichées mais aussi des informations recueillies a été étendues
- ils pourront concerner des personnes morales ou des groupements (associations, groupe facebook, squats, zad ou même manifestation)
- ils permettront aussi de lister de manière plus complète les personnes entretenant ou ayant entretenu des relations directes et non fortuites » avec ce « groupement » (ex : des participants à une manifestation)
- plus problématique encore le fichage vise maintenant les habitudes de vie et les activités en ligne et l’ensemble des réseaux sociaux est concerné.
- « les données sont à ce titre collectées sur des pages ou des comptes ouverts » et « porteront principalement sur les commentaires postés sur les réseaux sociaux et les photos ou illustrations mises en ligne »
- Inquiète, la CNIL demandait à « exclure explicitement la possibilité d’une collecte automatisée de ces données » mais le gouvernement a refusé
- Autre problème, les enfants de moins de 13 ans peuvent également être fichés dorénavant, ainsi que les victimes des personnes considérées comme dangereuse
- Dernier point, les notes individuelles pourront maintenant contenir les opinions politiques, les convictions philosophiques, religieuses et / ou l’appartenance syndicale mais également des données de santé « révélant une dangerosité particulière » peuvent aussi figurer dans ces traitements, notamment les « données relatives aux troubles psychologiques ou psychiatriques »
- La CNIL déclare qu’elle n’a pas pu se prononcer sur cette modification car elle ne figurait pas dans le projet de lui qui lui avait été soumis.
- les « activités politiques, philosophiques, religieuses ou syndicales », dont l’inscription était déjà prévue par les trois fichiers, sont maintenant remplacées par des « opinions » politiques, des « convictions » philosophiques, religieuses et une « appartenance » syndicale.
- sont jugement de l’époque, bien qu’il ne soit plus pertinent était déjà que le périmètre de certaines de ces catégories de données était trop étendu ou la redaction de certain passages très large
- le Conseil d’État qui avait été saisi par plusieurs grands syndicats, dont le Syndicat de la magistrature ou le Syndicat des avocats de France, a validé l’élargissement des fichiers le 4 janvier 2021 car d’après lui il ne porte pas une atteinte disproportionnée à la liberté d’opinion, de conscience et de religion ou à la liberté syndicale.
- la seule chance restante serait de saisir la cour européenne des droits de l’Homme car d’après Virginie Gautron, maîtresse de conférences à l’université de Nantes et spécialiste des questions liées aux fichiers de police, « Les principes de proportionnalité et de nécessité ne sont pas remplis »,
Article sur les usages présents et possibles de la justice prédictive en France
Répressions et résistances : entretien avec Mathieu Rigouste
Document sur les fichiers policiers
Utilisation de la reconnaissance faciale et des fichiers de police
Alibaba reconnaît avoir développé un algorithme raciste pour surveiller les Ouïghours
- pour rappel les Ouïghours sont une minorité musulmane vivant principalement dans le nord-ouest de la Chine, dans la province du Xinjiang, et victime de persécution et de surveillance de masse depuis des années de la part du gouvernement chinois
- souvent internés de force dans des camps de rééducation dans lesquels ils sont exploités
- Alibaba vient de reconnaitre que sa filière Cloud avait bien conçu, développé et commercialisé des outils de surveillance de la population ouïghoure basé sur la reconnaissance faciale.
- Parmi les clients identifiés, une douzaine de départements de police dans tout le pays, preuve que la persécution n’a pas lieu que dans le Xinjiang
- Dans un communiqué en anglais (alors que tous les clients du service sont chinois), la maison mère Alibaba s’est dit consternée (mouais)
- Huawei aurait fait de même
- La police chinoise utilise une caméra basée sur l’IA et des analyses raciales pour suivre les Ouïghours
Alibaba
L’État chinois lance une enquête sur le monopole commercial d’Alibaba
- l’Administration d’État pour la Régulation du Marché en Chine a lancé une enquête sur Alibaba pour des pratiques jugées anticommerciales qui sont les mêmes que celles reprochées à Amazon (politiques d’exclusivité abusives entre autre)
Après Alibaba, la pression de Pékin se resserre sur Ant Group
- la banque centrale chinoise a demandé à Ant Group, filiale d’Ali Baba de restructurer ses activités pour respecter la réglementation financière.
- ce qui était à la base un service de paiement propose aujourd’hui des prêts, la gestion de patrimoine et des assurances.
- le groupe est notamment accusé de tirer parti de sa position dominante sur le marché pour exclure des concurrents”.
- a priori le gouvernement n’aurait pas apprécié les critiques de Jack Ma contre le système bancaire et d’assurance chinois, contrôlé par le parti et qui a d’après lui une mentalité de « prêteur sur gages »
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 245 - Interview SRE avec Nicolas Helleringer et Maxime Brugidou - partie 2
Posté le 04/01/2021Nicolas et Maxime de Criteo partagent avec Emmanuel leur expérience de mise en place d’une organisation SRE (Site Reliability Engineering). Suite et fin de cette interview.
Enregistré le 12 novembre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-245.mp3
Interview
Ta vie, ton oeuvre
Twitter Nicolas
Twitter Maxime
Criteo Labs
Intros et premiers sujets en partie 1
Concepts intéressants
Standard Operating Procedure
Gestion d’incident
Dashboard
Postmortem
Comment ça se passe ?
Relation avec l’équipe produit
On code sur le produit ?
Feedback loop
Quid de systèmes fondamentalement en risque du black swan (échec systémique)
Une équipe SRE par boite ?
Une équipe SRE par produit ?
Le monitoring
Quoi mesurer ?
Beaucoup, peu ?
Entraînements et cas réels
Que se passe-t-il quand cela chie dans la colle ?
On s’entraine ?
Vous faites le draining d’erreur budget
Drainer des clusters pour maintenance et impact sur l’utilisateur
Conclusions
Livres Google sur le Site Reliability Engineering
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 244 - L'épisode maudit
Posté le 14/12/2020D’abord on a perdu Guillaume corps et âme, ou plutôt piste et blagues. Ensuite on a perdu les shownotes. Puis le live. Puis le casque d’Audrey, et son micro dans la foulée. On a bien failli perdre le mix aussi. Mais bravant tous les obstacles, nous sommes quand même parvenus à faire l’épisode news de décembre.
Enregistré le 11 décembre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-244.mp3
News
On a un nouveau site web. Merci Marc Wrobel !
Langages
AdoptOpenJDK accueille Dragonwell
Librairies
Le livre Vert.x in Action de Julien Ponge est sorti
Sortie de Vert.x 4
Skija - librairie graphique pour la JVM
Nashorn devient un projet indépendant
Infrastructure
Docker Desktop pour Mac vers le support de Apple M1
Docker déprécié comme moteur de container dans Kubernetes
- Don’t panic
- Docker et Mirandis s’allient pour supporter Docker Shim dans un projet indépendant de Kubernetes
Cloud
AWS fait tomber une grosse partie d’internet
Le postmortem d’AWS plus intéressant
Web & Front
Outillage
Méthodologies
Sécurité
Est ce que Apple enregistre toutes les applications que vous exécutez ?
Loi, société et organisation
Les 9 phases d’un contributeur open source
Il ne faut plus dire “digital” mais “numérique”
Outils de l’épisode
Rubrique débutant
Conférences
- Web Stories le 5/2 - Edition en ligne https://webstoriesconf.com/
- Le Devfest Lille le 11/6 en présentiel https://devfest.gdglille.org/
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 243 - Interview SRE avec Nicolas Helleringer et Maxime Brugidou - partie 1
Posté le 04/12/2020Nicolas et Maxime de Criteo partagent avec Emmanuel leur expérience de mise en place d’une organisation SRE (Site Reliability Engineering).
Enregistré le 12 novembre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-243.mp3
Interview
Ta vie, ton oeuvre
Twitter Nicolas
Twitter Maxime
Criteo Labs
SRE en 2 phrases
Site Reliability Engineering C’est une façon de monter un salaire de sysadmin ?
Pourquoi
Ops et dev, pourquoi “merger” ?
DevOps avec un sysadmin dans l’équipe vs SRE
Cela a du sens de le faire sur un “petit projet” ou uniquement si on gère 300k machines ?
SRE au quotidien
Journée type
Dashboard
On code en quoi?
Pager (pendant les horaires travails vs dehors)
Les weekends
Taille SRE pour du 24/7
Combien de fois est-on appelé par nuit ? Prod fallback
Le development
Concepts intéressants
50% eng
SLO SLI SLA
La difficulté de la valeur initiale
Perf passées vs calcul théorique
Error budget
Blast radius
Burn rate
Pré conclusion
C’est la fin de la partie 1 de cette interview
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 242 - Les Applets, 20 ans trop tôt
Posté le 17/11/2020Guillaume n’était pas présent dans cet épisode, mais rassurez-vous Emmanuel assure la permanence des blagues et accompagné d’Antonio et d’Audrey il commente les actus du mois de novembre : ça discute de Quarkus, Spring Boot, Gradle, Reactive Programming, Docker, sécurité et bien sûr, loi, société et organisation.
Enregistré le 13 novembre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-242.mp3
News
Langages
Guide de migration à Scala 3
11 ans de Go
Librairies
Infrastructure
Les bonnes pratiques de sécurité pour ses Dockerfiles
Docker met en pause l’application de sa nouvelle police de gestion des images
Cloud
Abandon de l’offre on-premise de atlassian (jira et confluence)
Web
Netlix passe à Kotlin multiplatform pour les applications iOS et Android
JetBrains sors Jetpack Compose for Desktop en M1, basé sur Jetpack
Outillage
Gradle 6.7
Cédric Champeau modernise le build de Apache Groovy, avec des conventions modernes de Gradle
Alternatives aux outils en ligne de commande écrits en Rust
Hardware
Il y a le bon câble USB et le mauvais câble USB
- USB power meter/analyzer et USB load tester pour détecter les mauvais cables
- Des cables qui gardent les 5v d’autres qui descendent à 4,1v
Méthodologies
Sécurité
Nouvelle CVE dans Chrome
Faille de sécu sur les workflow GitHub
GitHub oublié de renouveler son certificat. Oops
Let’s Encrypt devient grand
Fun
Comics sur les fonctions en bash par Julia Evans
Loi, société et organisation
Mobilizon l’alternative à Facebook proposée par Framasoft
Loi Sécurité Globale : Surveillance généralisée des manifestations
- L’alerte de la défenseure des droits
- Tribune : “L’article 24 de la future loi ʻsécurité globale’ menace la liberté d’informer”
Identité numérique et reconnaissance faciale : le Conseil d’État a rendu son verdict
Outils de l’épisode
Crowdcast de Youri sur ses podcasts préférés
- Message A Caractère Informatique
- Electro Monkeys
- If This Then Dev
- Tech Rocks Podcasts
- No Limit Secu
- La Méthode Scientifique
- C’est Plus Que De La SF
Conférences
Codeurs En Seine 2020 - Edition en ligne
- En novembre, les mardis à 19h et les jeudis à 21h
- 45 minutes de conférences + environ 15 minutes de questions
- En ligne sur Twitch + rediffusion Youtube
Web Stories le 5/2 en ligne https://webstoriesconf.com/
Le Devfest Lille le 11/6 en présentiel https://devfest.gdglille.org/
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 241 - Interview Cloud IDE avec Sun Tan et Marc Dumais
Posté le 02/11/2020Marc Dumais et Sun Tan discutent des Cloud IDEs autour du micro. En particulier de Eclipse Che et de Eclipse Theia.
Enregistré le 30 octobre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-241.mp3
Interview
Ta vie ton oeuvre
Twitter de Sun @__sunix_
Le CFP young blood VIII du ParisJUG
Eclipse Theia en 2 minutes
Eclipse Che en 2 minutes
l’écosystème et la concurrence
Beaucoup de rachats d’IDEs dans le cloud :
Le cloud IDE au quotidien
J’ai pris mon café, maintenant je fais quoi ?
Chrome ou Firefox ?
Comment je sync avec mon repo Git
Signer avec la clé GPG (sur le serveur ?)
Je veux installer une extension je fais comment
Je partage du code avec quelqu’un, il se passe quoi
Je peux partager le même workspace ?
Vous utilisez des workspaces différents comment ?
Parler de devfile
Comment j’installe Che ?
docker local ?
kube
Experience
Theia plugin
La doc pour installer Che dans GCP
Les types de flots de développement que cela ouvre
Vs un IDE local
Je peux avoir un IDE local et les avantages de l’IDE du cloud ?
Sous le capot
Comment ça s’écrit la partie interface IDE
Réactivité
Latence
Desktop vs cloud Thea
Eclipse Theia
Vient de quel besoin
séparé d’Eclipse classique ?
Qui utilise Theia ?
Architecture
Il y a quoi derrière mon navigateur :
- Che server
- Che workspace
- Theia
- VS code extensions
- Debug server
- Kube
- “Tooling services”
- https://www.eclipse.org/che/technology/
Il reste quelque chose de l’eXo Cloud IDE ?
VSCode extensions
Comment ça fonctionne
Protocole interaction
Communauté
Quel est l’écosystème
Essayez Gitpod en ouvrant le project Eclipse Theia. Requiert un compte GitHub et un browser web moderne https://gitpod.io/#https://github.com/eclipse-theia/theia
Exemple d’utilisation de Gitpod pour générer une version à jour des statistiques de contribution au projet : https://gitpod.io/#https://github.com/marcdumais-work/gitstats
Twitter: @eclipse_che et #Chejoy
Pour tester Che: https://che.openshift.io/
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 240 - Fuseaux horaires - la fontaine à bogues
Posté le 17/10/2020Cet épisode consacre Java le langage et sa version 15 en particulier. On discute aussi l’impact des mémoires fautives sur la JVM, le réactif, les frameworks backends et bien d’autres choses. Et nous avons deux crowdcasts ! 🕺
Enregistré le 13 octobre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-240.mp3
News
Langages
Java 15 (plus de détails par Remi Forax ).
- unicode 13,
- hidden classes (non-discoverable implementation details of the framework e.g. classes générées au runtime, déchargement agressif),
- TreeMap amelioration de perf,
- check de revocation pour le jar signer,
- sha-3 support,
- nashorn enlevé,
- les lock biaisés sont désactivés/dépréciés,
- ZGC prêt pour la prod,
- amélioration d’ergo de G1 (on en avait parlé),
Azul couvre JDK 15, avec un focus sur les Sealed classes, les Records, les Hidden classes.
Des bugs de timezone qui vous pouvez rencontrer dans vos applications.
- Faire tourner son code sous une vieille version de JRE/JDK qui n’est pas à jour au niveau des données de TimeZone.
- Le serveur est peut-être dans votre TimeZone à vous, ou bien sur UTC, alors attention !
- En stockant des dates en bases de données, il faut aussi prendre en compte la TimeZone configurée dans la DB !
- Parfois aussi côté affichage, on peut oublier de parser les dates avec les infos de TimeZone, ou côté client la TimeZone ou l’heure d’été peut être mal configurée…
Enregistrements d’Oracle Developer Live Java
- https://inside.java/2020/09/17/devlive-java-lang-futures/
- https://inside.java/2020/09/17/devlive-keynote/
Les crashs de JVM sont souvent des erreurs mémoire. Pourquoi ?
- La JVM on lui donne souvent beaucoup de mémoire.
- Les métadonnées utilisées par le GC sont importantes.
- Ces métadonnées sont accédées entièrement lors d’un full GC.
Romain Manni-Bucau explique comment configurer Java Util Logging avec un formateur sur une ligne, pour que ce soit plus sympa dans un contexte prod Docker
Un rapport sur l’écosystème Groovy :
- l’outil le plus utilisé : Gradle (pour le build).
- librairie la plus populaire : Spock (pour les tests).
- framework le plus populaire : Grails.
- beaucoup d’utilisation de Groovy comme langage de script, d’automatisation, mais aussi comme langage général principal et comme Domain-Specific Language.
Librairies
- Isolated tests.
- New Enabled/DisabledIf execution conditions.
- Custom disabled reasons.
- New MethodOrderer.DisplayName.
- New DisplayNameGenerator.Simple.
- Java Flight Recorder support.
- Improved EngineTestKit.
- nouveau plugin Gradle qui facilite le build d’image natives Graal et de containers Docker en couches.
- support des fonctions Oracle Cloud.
- support amélioré de Google Cloud Platform, avec le logging structuré de Stackdriver,
- et le support natif du messaging avec Google Cloud Pub/Sub.
- Plus d’infos dans la doc dans la section des nouveautés : https://docs.micronaut.io/2.1.0/guide/index.html#whatsNew
Sortie de Quarkus 1.8 (et on n’avait pas annoncé 1.7)
- multiple persistence unit
- Micrometer
- intégration avec jbang
- GraalVM 20.2
- MongoDB pour Kotlin
- Elasticsearch REST client (1.7)
- Client vert.x Redis (1.7)
- Hibernate Envers (1.7)
- DB2 (1.7)
Infrastructure
NVidia rachète ARM à SoftBank pou 40Md$, ça va faire un sacré concurrent à Intel et AMD. (https://www.anandtech.com/show/16080/nvidia-to-acquire-arm-for-40-billion)
Retour d’experience sur l’utilisation de Kubernetes. Java et ses problèmes (spécialement 8, toujours grosse conso mémoire), mettre à jour Kubernetes (ils créent des nouveaux clusters), corriger un index au démarrage vs liveness probe, exposer des IPs externes et la limite de connexions parallèles.
Project Natick: Datacenter mis sous l’eau en 2018 par Microsoft.
- 864 servers, 27.6 petabytes de stockage, 117 pieds au fond de l’ocean (Écosse).
- Aux dires de Microsoft, c’est un succès.
Google est neutre en carbone, et a même racheté sa dette carbone depuis sa création.
- (1) We were the first major company to become carbon neutral in 2007. → Google a été “neutre” par compensation, chaque année depuis 2007, notamment en achetant autant d’énergie renouvelable que d’énergie carbonée.
- (2) We were the first major company to match our energy use with 100 percent renewable energy in 2017… We’re eliminating our entire carbon legacy, effective today. → Depuis 2017, Google a en plus acheté autant d’énergie renouvelable l’année N que d’énergie carbonée consommée l’année N+1. En septembre 2020, Google a fini par être totalement “neutre” en ayant consommé autant d’énergie renouvelable que d’énergie carbonée depuis la création de Google.
- (3) We are the first major company to make a commitment to operate on 24/7 carbon-free energy in all our data centers and campuses worldwide… by 2030. → Dans 10 ans, Google espère ne plus consommer d’énergie carbonée du tout.
Data
CrunchyDB offre un PostgresSQL as a service qui est cross clouds.
Outillage
Github sort la version 1.0 de son outil en ligne de commande pour gérer ses projets Github.
Architecture
Un vieux truc, le memo de Bezos sur la service oriented company.
Jonas Boner annonce les 8 principes réactifs.
- I. Stay Responsive : Always respond in a timely manner.
- II. Accept Uncertainty : Build reliability despite unreliable foundations.
- III. Embrace Failure : Expect things to go wrong and design for resilience.
- IV. Assert Autonomy : Design components that act independently and interact collaboratively.
- V. Tailor Consistency : Individualize consistency per component to balance availability and performance.
- VI. Decouple Time : Process asynchronously to avoid coordination and waiting.
- VII. Decouple Space : Create flexibility by embracing the network.
- VIII. Handle Dynamics : Continuously adapt to varying demand and resources.
Méthodologies
Les recommendations de Red Hat aux Red Hatters sur la contribution à l’Open Source
Sécurité
Jenkins vient avec pleins de fix de sécurité comme tous les mois (voire 2 fois par mois).
Loi, société et organisation
Est-ce que le Hacktoberfest de Digital Ocean fait mal à l’Open Source ?
- plein de gens contribuent des commits à deux balles, juste pour gagner un t-shirt, et c’est les mainteneurs de projets open source qui sont obligés de se taper toutes les pull-requests comme des messages de spam
- Update de DigitalOcean to reduce spam
- Comment une personne (un YouTuber avec 600K followers a pourri le système)
Bye bye Stop Covid qui va devenir Alerte Covid. L’application ne règle en rien les problèmes en terme d’efficacité et de vie privée déjà décriés dans le passé mais veut rajouter des usages en ciblant notamment l’utilisation dans les bars et restaurants et en y diminuant la durée d’exposition utilisée comme indicateur de contact. Elle devrait aussi pouvoir vous notifier d’alerte locale (le gouvernement dans votre poche).
Outils de l’épisode
Un écran 49” 32:9 https://www.samsung.com/us/computing/monitors/gaming/49-crg9-dual-qhd-curved-qled-gaming-monitor-lc49rg90ssnxza/
Rubrique débutant
Si vous débutez en Docker, il est important de comprendre les différences entre les instructions RUN, CMD, et ENTRYPOINT de vos Dockerfiles.
- RUN est exécuté quand on build l’image.
- CMD est l’instruction par défaut lancée au démarrage de votre image.
- ENTRYPOINT permet plus de flexibilité que CMD en supportant les paramètres en entrée.
Conférences
Codeurs En Seine 2020 - Edition en ligne
- En novembre, les mardis à 19h et les jeudis à 21h
- 45 minutes de conférences + environ 15 minutes de questions
- En ligne sur Twitch + rediffusion Youtube
Crowdcast de Emmanuel Demey sur les conférences à venir dans le Nord.
- Cloud Nord le 19/10 en remote : https://cloudnord.fr/
- Web Stories le 5/2 en présentiel (pour le moment) https://webstoriesconf.com/
- Le Devfest Lille le 11/6 en présentiel https://devfest.gdglille.org/
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 239 - Interview Rust avec François Teychene, Sylvain Wallez et Geoffroy Couprie
Posté le 05/10/2020Dans cet épisode, Audrey a fait appel à l’aide d’un ami, François Teychene pour interview Sylvain Wallez et Geoffroy Couprie sur le langage le plus populaire de ces dernières années : Rust.
Enregistré le 2 octobre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-239.mp3
Interview
Ta vie, ton oeuvre
Sylvain Wallez - Twitter - LinkedIn : Développeur passionné pratiquant Java depuis la fin du 20e siècle, les langages m’intéressent, surtout quand ils sont fortement typés ! Je suis tombé dans Rust lors de l’écriture d’un blog post sur Go. Cofondateur du JUG et du Rust meetup toulousains, membre de la Fondation Apache depuis plus de 15 ans, j’ai été cofondateur d’une boîte d’expertise Java, CTO de startup, freelance et j’ai monté le bureau toulousain d’OVH. Je travaille actuellement chez Elastic où après 4 ans dans l’équipe Cloud je viens de bouger vers l’équipe “Clients” qui développe les SDK où j’ai en charge les SDK Java et Rust.
Geoffroy Couprie : Geoffroy Couprie travaille chez Clever Cloud en développement logiciel. Basé à Nantes, il se passionne pour l’open source, les problématiques de performance et la sécurité.
Rust en 2 phrases
Le langage
Quelles sont les fonctionnalités clés du langage ?
Quelles sont les inspirations de ce langage ?
Quel différenciateur vs reste ?
Quels sont les utilisateurs type ?
Pour quel use cases ?
Evolution du language
Async/await
Maturité du langage / des librairies
Sous le capot
Comment Rust gère la mémoire sans garbage collection ?
LLVM binding
Support des hardwares ? (rasp, etc etc …)
Apprentissage
Apprendre Rust :
En prod chez qui
Qui utilise Rust en prod ?
- La page “users” sur le site de Rust
- Les offres d’emploi chez Apple
- AWS Firecracker
- Google Fuchsia
- Microsoft
- Sentry
L’écosystème
Gestion des dépendances, outil de build, test etc (aka cargo c’est la vie)
Tools utils:
- le linter clippy
- cargo-license
- cargo-deny
Librairies de référence :
- le “maven central” crates.io
- Serde (le Jackson de Rust)
- Tokio (runtime asynchrone)
- StructOpt (lignes de commande)
Frameworks pour écrire des webapps en Rust :
- Actix pour le server
- Yew pour le front-end
- AreWeWebYet?
Communauté et futur
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/
LCC 238 - Registries, registries, registries !
Posté le 15/09/2020Antonio, Guillaume et Emmanuel discutent de registries et de registries et de registries. Et sinon TypeScript 4, Kotlin 1.4, Spring One, comment gérer des équipes, lire du code, des APIs. Bref plein de choses intéressantes :)
Enregistré le 10 septembre 2020
Téléchargement de l’épisode LesCastCodeurs-Episode-238.mp3
News
Langages
jdk/jdk repository transition to Git, GitHub and Skara is done
Ca rale contre G1 en default dans Java 11
- throughput dégradé
- RubyKon Benchmark 2020: CRuby vs JRuby vs TruffleRuby
- Rubykon is Go AI written in Ruby using Monte Carlo Tree Search
- Ce n’est pas un benchmark représentatif de la plupart des applis (car très peu d’IO) mais beaucoup de CPU
- Utilise beaucoup de tableaux, peu de collection, pas de string…
- TruffleRuby still has the best “warm” performance
Les blocs de texte de java 15 qui sort ce mois ci
- Simplifier l’écriture des chaines de caractères sur plusieurs lignes
- JEP 378: Text Blocks
- Délimiteur trois guillemets ( “”” )
- Partial semantic mode : Temps de démarrage plus rapides du projet par analyse partielle (vs toutes les dépendances) (dans l’IDE ?)
- Variadic tuple type (tuple de taille définie et de types définis et hétérogènes)
- Dont rest élément où l’on veut.
- Tuple labels comme des named parameters
- Class property inference from constructor
- Catch as unknown au lieu de any (downcasting)
- En fait le compilateur fournit les outils à l’IDE
- Amélioration de la qualité. Stabilité et performances dans l’IDE
- Corrige notamment des lenteurs ou blocages dans l’IDE
- Debugger de Coroutines
- Nouveau compilateur pour centraliser le code entre les différentes plateformes
- Sam pour les interfaces kotlin (Single Abstract Method)
- Kotlin 1.4.0 comes with a variety of different language features and improvements. They include:
- SAM conversions for Kotlin interfaces
- Mixing named and positional arguments
- Trailing comma
- Callable reference improvements
- break and continue inside when included in loops
- Explicit API mode for library authors
- kotlin.serialisation en 1.0 RC
Librairies
- Lambda builder
- Spring Boot 2.3.3
- junit 5
- route template (parameterized routes)
- faster reflexion free startup
- new components
Infrastructure
Docker limite le nombre d’image par 6 heures
- The second policy update is regarding limits on the number of image pulls. A pull is defined as up to two GET requests to the registry URL path ‘/v2//manifests/’. Again, starting November 1, 2020:
- Anonymous users will have an upper limit of 100 image pulls in a six hour period
- Accounts authenticated with a DockerID will have an upper limit of 200 image pulls in a six hour period
- Pro and Team subscriptions do not have limits
- la question c’est image == layer donc 100 peut arriver vite pendant un lab
Github son propre container registry
- suite de GitHub packages prix
- en beta gratuite pour l’instant
GitLab réduit les minutes de runners pour les comptes gratuits
- “We are updating the CI/CD minutes limit in the Free tier to 400 minutes per group per month.”
- le marketing du gratuit / freemium en perte de vitesse pour les développeurs ?
Packages et registries en gratuit dans GitLab
- apres les registries de containers, ils ajoutent : Maven, npm, PyPi, NuGet, Composer, Conan et Go
Cloud
Google cloud function supporte Java 11 depuis mi août
- Hosting, monitoring d’app spring boot
- “Automatically wire your apps with the Spring service runtime. Once deployed you can easily monitor application performance, fix errors, and rapidly improve applications”
- mais ca reste un peu marketing et pas détaillé
Web
Kotlin Multiplateforme mobile en alpha
- Kotlin Multiplatform Mobile (KMM) est un SDK cross plateforme (iOS et Android)
- Intégration complète dans Android Studio pour le dev
- Refonte des compilos pour avoir une base commune entre le Kotlin / Kotlin JS et Kotlin Native
- partager la business logic et laisser la UI et navigation en natif iOS ou Android.
Outillage
Comment fonctionne Time-based One Time Passwords
- un secret partage
- un compteur basé sur (t-t0)/tx
- sha1 le tout
- tronqué pour avoir 6 chiffres
GitPod (un concurrent à Eclipse Che à priori) devient open source
Méthodologies
Si tu déprécies, je te fais caca dessus
- lecture intéressante entre la balance entre la dépréciation, retirer le support vs garder les choses pour toujours
- Google et son monorepo et son clean code amène a des dépréciations plus élevées que l’industrie
- “Backwards compatibility keeps systems alive and relevant for decades”
- emacs, android, java
- dépréciation mais garder à vie
- vs android qui a un code de merde et pleins de if mais qui est backward compatible
- les développeurs s’en vont quand la compatibilité casse
- [emmanuel] mais des projets cassent des choses tout le temps sans que les utilisateurs ne soient mécontents - par exemple Spring Boot
- petites dépréciations, tooling, documentation
- pas de big bang qui fracture ta plateforme et les utilisateurs ne migrent qu’au dernier moment
- exacerbé dans le monde des services
Principes pour un meilleur design
- Améliorations incrémentales : peut pas faire parfait directement
- Réutiliser l’existant : il y a des raisons aux solutions existantes ? Vous atteignez la limite du design précédent ?
- Les cinq pourquoi pour trouver la cause et possiblement trouver une autre solution meilleure (et peut être plus simple)
- KISS : la perfection est quand il n’y a plus rien à enlever, pas rajouter (Antoine de Saint-Exupéry)
- Parfait est l’ennemie du bon
- (e.g principe du 80 % 20 % - en temps)
- Reculer le moment de la complexité
- pas un article révolutionnaire mais un bon rappel. Prenez un café et lisez-le doucement et réfléchissez à chaque section
- On n’écrit pas du code illisible par pur plaisir, en général le code / les pratiques / le métier / l’équipe a beaucoup évolué dans le temps
- Le code lisible c’est subjectif, et il ne sert à rien de blamer les précédents auteurs
- Donc plutôt que de se plaindre -> apprendre à lire du code
Scaler l’équipe d’engineering avec la propriété distribuée
- équipe fonctionne quand elle a une mission comprise et auquel elle croit, quand elle gagne (alignée avec les besoins de l’entreprise, mesure le succès, reconnu pour ce succès), quand les individus progressent
- entre 5 et 10 est la limite a la quelle une équipe part en chaos sans organisation
- centralisation: problème planning, stand up etc
- decentralisation sans plan : conflits, ralenti, désaligne => chaos
- embaucher les type A (NDLR risque mono culture) ; embauche que si surchargé et montre résultats tops (donc une équipe qui montre qu’elle fonctionne deja). sinon risque équipe dysfonctionnelle qui grossi (modifié)
- La delegation vient avec la gouvernance pour appliquer les règles globales de l’équipe (code qualité, dette technique etc)
- il encourage d’investir dans la core ip de l’appli vs rajouter des fonctionnalités. Toujours sur quelle est la valeur
- The person doing the work owns the execution, even though they may not own the direction. Rather than top down execution driven by meetings, we rely on bottom up execution based on top down direction and review.
- Engineering Manager vs TEch Lead - As the team scales through, it’s important that someone is responsible for organizing the team, process, and ensuring people are happy, productive, and growing, and someone else is responsible for the technical direction and systems of responsibility like code reviews, deploys, and so on.
- Scrum, agile poker etc est trop centralisé dans une approche avec un ratio senior / junior cohérent what I consider to be a more modern and decentralized approach, Engineering Managers work with engineers, who take ownership of chunks of work, decompose them into tasks, estimate, and get the team and manager to review async or in a planning meeting. Everything is tied to the team KPIs, which are tied to the company KPIs, but we don’t need any fancy formats like user stories, etc. Engineers are even more empowered to think about customers, product, and business value in this model — they are looking at how they can impact team KPIs, and empowered to push managers for the work they think is most impactful on the KPIs. The tech lead owns the technical queue — tech debt, testing issues, infrastructure, etc.
- The Approval Matrix with Round Robin Pattern - utile sur les choses trop concentrées ou sur les sujets que personne ne veut training process pour onboarder
- round robin pour forcer le changement et éviter les code review overloards et autres bug fixers
- Pour taches de plus de 1 semaine, design document d’une page revue (sign off component lead) sanity checking, important issues and standards. Not micro management
Sécurité
Docker desktop ajoute la commande scan analyser les problèmes de secu via Snyk
- scan des images locales
- en CLI
- s’appuie sur Snyk avec une partie gratuite via compte docker , sinon prix
- snyk continuously find and fix vulnerabilities in open source libraries and containers
- marche pas pour les images alpine
- Déjà présente dans SonarCloud 2
- Sera inclue dans SonarQube 8.5
- Sonar rachète de RIPS en mai 2020
GitHub qui se lance dans le code scan
- GitHub, all your base are belong to us
- Oui d’où mon tweet sur le SPOF. Sachant que plus ils en font, moins c’est stable.
- ils mettent les true positive “sûr” dans l’analyse de la PR
Loi, société et organisation
Apple également dans le viseur de Facebook pour sa taxe de 30%
- l’app store ne permet pas de dire que les prix incluent la marge d’apple de 30 %
- débat sur des cas spécifiques : genre argent pour des gens qui organisent des évènements (ou pire une charité)
- mais c’est l’argument “penser aux petits enfants”. Facebook, j’imagine, a des plans de se faire de l’argent sur certaines de ces ventes.
La CNIL publie son livre blanc sur les assistants vocaux
- 84 pages, articles, interviews.
- Super pour aider “les personnes en situation de dépendance, qu’elles soient âgées ou handicapées”
- Mais pose des questions “du point de vue de la protection des données”
- “fortement ancrée dans notre intimité” “de nombreuses informations sur l’émetteur d’un message oral. Âge, genre, condition physique, accent, origine géographique et socio-culturelle, éducation, état de santé
- ou émotionnel, mais également identité”
- “captent nos habitudes de vie pour enrichir un profil”
- “Ce livre blanc propose quelques pistes de réflexion sur l’usage des données par les assistants vocaux”
- Quels usages: DEMANDE DE LA MÉTÉO / RECHERCHER UNE INFORMATION / ÉCOUTER DE LA MUSIQUE
- Mythes et réalités des assistants vocaux (vrai/faux) : écoutent en permanence / utilisent nos données pour mieux nous profiler / interface très prisée des enfants
- L’affaire Snowden a déjà 7 ans
- La cour de justice américaine déclare illégale les écoutes effectuées par la NSA
- La collecte de millions de coups de fil “may have been unconstitutional”
- Tweet de Snowden I never imagined that I would live to see our courts condemn the NSA’s activities
Outils de l’épisode
Roulettes sous ma chaise
Conférences
Codeurs En Seine 2020 - Edition en ligne - CFP jusqu’au 15 septembre
- En novembre, les mardis à 19h et les jeudis à 21h
- 45 minutes de conférences + environ 15 minutes de questions
- En ligne sur Twitch + rediffusion Youtube
La prochaine édition du Fosdem se fera en ligne
- 6 e 7 février 2021
- CFP bientôt annoncé
- Reporté au jeudi 14 et vendredi 15 octobre 2021
- 14 et 15 septembre 2020
- Physiquement Porte de Versailles à Paris
- Ou depuis votre ordinateur ou smartphone
Nous contacter
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Faire un crowdcast ou une crowdquestion
Contactez-nous via twitter https://twitter.com/lescastcodeurs
sur le groupe Google https://groups.google.com/group/lescastcodeurs
ou sur le site web https://lescastcodeurs.com/