Bonjour et bienvenue dans ce nouvel épisode de Messages à caractère informatique, épisode
numéro 148. Oui, l'épisode 150 approche.
Aujourd'hui nous sommes le 2 novembre de Milvanzan, que je suis Horacio Gonzales et je suis
accompagné de Jean Mervellote, qui est Josepho Mar, cachet derrière Dieu. Bonjour Joseph, ça va ?
Bonjour Horacio, ça va très bien.
Salut Noël!

Stephan, bonjour Tanguy!
Carabu, tu n'es pas encore老 ?
Oh, Manu, à mon écier le carrément, non ?
Bon bah, on va faire un petit tour de table et ensuite on va partir sur les différents news.
Allez, Aurélien, on va, s'il te plaît.
Bonjour à tous, donc moi c'est Aurélien et Baird, je suis la personne en charge de l'équipe database à
le service de Cleaver Cloud. C'est l'équipe qui va gérer toutes les bases de données que l'on a
en tant que produit à Cleaver Cloud. Donc on va retrouver du PostgreSQL, du MySQL, du Redist,
de Elasticsearch ou du MongoDB. On est l'équipe qui est en charge de développer la partie produit
et surtout de maintenir en condition pérationnelle toutes les bases, donc de faire en sorte que
ça tourne H24 et 7 sur 7 et de traquer les différentes fonctionnalités.
Rocio, je te repasse la main.
Merci et c'est aussi l'équipe qui nous permet d'avoir sémasi aujourd'hui parce que notre dossier
nous a invité de Cleaver, c'est Tanguy et le Ocid à la team base de données. C'est ça?
Salut, c'est ça. Je suis un des fidèles serviteurs d'Aurélien qui bosse surtout sur du Redist,
actuellement.
Niquel, notre invité de Yur, je sais, je presque honte de te demander de te présenter,
comme tout le monde te connaît dans l'écosystème.
Oui, sûrement. Je m'appelle José et les gens me connaissent surtout parce que je fréquente le
Paris Jog et je m'occupe du Paris Jog en fait depuis, j'ai un peu oublié, ça fait plus de 10 ans.
Honnêtement, j'ai oublié le nombre d'années exactes, ça fait plus de 10 ans.
Et puis j'apparaît, comment?
Plus de 15.
Non, je pense pas que ça fasse plus de 15.
Oui, c'est moi aussi, en fait, le 14e anniversaire de notre Jog, le Finnish Jog,
et vous y êtes, il y a une source d'inspiration,
on m'a manon la montée, donc c'est plus de 15, ça c'est sûr.
Peut-être que c'est plus de 15.
Ce qui n'a rajeunit pas, ça fait plaisir. Merci Horacio.
Donc j'apparais aussi régulièrement dans des conférences d'évox France, d'évox Belgique aussi d'ailleurs,
et d'évox UK également aussi, et puis d'autres,
où j'aime bien faire des présentations longues parce que comme je suis quelqu'un qui parle lentement,
si tu veux, ça me permet d'avoir le temps de dire tout ce que j'ai à dire,
et même quelquefois de meubler avec des choses beaucoup moins intéressantes,
et les gens ne me souhaitent pas me le dire.
Voilà, et en ce moment principalement, donc j'ai rejoint en RAC il y a 5 ans maintenant, en fait, 5 ans déjà,
dans l'équipe qui s'occupe de...
d'équipe qu'on appelle les Java Developer Advocate,
et donc l'objet de cette équipe, c'est de publier du contenu,
alors ça peut être de la documentation, des tutoriels, des labs, toutes sortes de choses,
aussi sous formes très variées, écrites, podcasts, vidéos, je trouve ça comme ça,
sur la plateforme Java et sur l'actualité de la plateforme Java.
Alors, on se concentre sur Java et source, qui est déjà très large en fait,
et on parle beaucoup moins de tout ce qui est autour de Java,
donc des grands projets open source, y compris Jakarta Eud d'ailleurs,
ça c'est des choses dont on parle moins, mais bon, qu'on suit quand même du coin de l'oeil
parce que c'est aussi des choses qui sont intéressantes et qui intéressent les communautés.

Nickel.
Bon, merci encore de cela.
Et bon,
qu'il se passe en ce moment dans l'écosystème Java,
qu'il se passe en ce moment vraiment aujourd'hui,
les gens sont en train de préparer la version 26 qui va sortir en mars.
Il y a une version tous les six mois, la dernière c'était la 25, donc en septembre,
et la prochaine ce sera la 26 en mars.
Et en fait, ce cycle de six mois, il est décalé trois mois,
les gens travaillent en décalé trois mois,
c'est-à-dire que les trois premiers mois, ils finalisent ce qu'ils peuvent pousser sur la 26 sous forme de JEP,
donc ils sont en train d'écrire les JEP et de les publier, de les pousser.
Et puis une fois que les JEP sont validés,
les fonctionnalités qui sont déjà prêtes sur des branches, etc., sont mergées dans la branche principale du JDK.
Et grosso modo, les trois derniers mois du cycle sont consacrés à la construction, au test, à la correction de bugs éventuelles.
Jusqu'à la publication finale.
Tout ça s'est planifié en fait, il y a un planning qui est public d'ailleurs,
avec une première version RC1, une RC2, une RC3, puis la version finale.
Et puis avant ça, il y a des versions d'EA, donc early access, qu'on peut télécharger également.
Et donc là, en ce moment, c'est ce qu'ils occupent les gens.
On a toutes les JEP qui sont en train d'être publiées sur la version 26, qui va sortir.
Et puis une fois que les JEP sont terminés, que la date de clôture du dépôt des JEP sera passée,
on passera dans cette phase de construction des préversions.
Donc on aura en fait une idée très précise de ce qu'il y aura dans la 26.
Grosso modo, dans un mois ou à peu près.
Quelque chose comme ça, donc début décembre.
Et puis les gens vont commencer ensuite.
Après, il y a deux équipes, il y a une équipe qui va travailler sur les nouveautés de la 27 qui sortira en septembre.
Mais qui sera finalisé vers le mois de juin.
Et puis ça recommencera.
Mais là, je pense que ce qui est intéressant, c'est surtout ce qui est la 25.
Parce que la 25, c'est une version dite LTS, entre guillemets.
Alors LTS, c'est un truc qui n'existe pas en fait.
LTS, c'est un machin que les vendeurs vont inventer.
Mais du point de vue du JDK et de l'OpenJDK,
donc du groupe de gens qui travaillent au développement de la plateforme et à l'écriture des specs.
Cette notion de LTS, la 24, la 25, la 26, c'est trois versions qui sont identiques en fait.
C'est assez courrier ça, je ne savais pas de tout.
Donc déjà, première chose, pour dévier de Yavak comme moi,
ça se fait toujours drôle voir s'il me l'a déversé en partenariat et plein de nouveautés.
Ça fait déjà quelques années, mais j'avoue que j'ai encore de mal à me dire,
je me suis dit que je vais aller en Javak avec un paquet de nouveautés à chaque fois.
Et je trouve ça personnellement super.
Je sais que pour certains boîtes, c'est aussi compliqué parce que la idée de mettre à jour la JVM,
surtout de boîtes qui ont eu des souvenirs traumatiques de passage de Yavak,
4 à 4 ansanques, 6 ansanques, la rivée de Yavak.
C'est des boîtes qui sont déjà anciennes pour passer de Javak à Javac 5,
là c'était quand même il y a 25 ans.
Oui, oui, oui.
Pas non pas de taffé, 25 ans, c'est moi.
Je me suis dit tout à l'heure que je n'étais plus trop jeune.
Le dernier passage traumatique, c'est le passage de 8 à 11 grosso modo.
Parce qu'il y avait la version 9 avec les modules.
Ce n'est pas que les applications, les grosses applications marchaient plus avec le passage des modules.
C'est qu'en fait il y a beaucoup de dépendances tierces,
qui étaient vraiment anciennes et qui elles ont eu du mal à passer le saut.
Et en fait, moi ce que j'ai vu, je ne travaillais pas chez Orac,
à l'époque, je faisais du consulting,
les sociétés que j'ai vues qui ont fait ce passage, qui ont fini par le faire,
maintenant c'est la plupart des projets qui l'ont fait, quand même, pas exagéré.
Ça a en fait impliqué un nettoyage massif dans les dépendances tierces.
Il y a eu souvent des vieux rogatons qui traînaient,
des vieux machins qui étaient plus maintenus depuis dix ans.
Et quelque part, même si ça a été pénible, les difficiles, les douloureux et tout ce que tu veux,
ça quand même fait du bien.
Parce que c'est quand tu nettoies ton garage,
tu découvres que tu as des vieux machins qui pourrissent dans des coins.
Et finalement, tu te dis, ok, sur le moment, c'était pas marrant,
mais maintenant au moins, c'est propre.
Et là, c'était un peu ça.
Mais aujourd'hui, il passait d'une version à l'autre.
Surtout, il y a des gens qui prennent chaque version, les unes après les autres,
17, 18, 19, 20, etc. 21.
Et quand les projets qui suivent ce genre d'évolution,
souvent, c'est juste une affaire de mettre à jour un numéro de version
dans un fichier de configuration de ton CI CD.
Et si tu fais ça, le nombre de nouveautés est moindre que si tu passes directement,
si tu fais directement le saut, 17, 21, 25.
En ce mode-là, il est divisé par quatre.
Par logique.
Et donc, les possibilités de régression sur ton code ou sur tes dépendances
ou de non-compatibilité ou de choses comme ça,
sont vraiment extrêmement réduites.
Donc le passage d'une version à l'autre, il se fait vraiment sans douleur.
On a eu un jog mardi soir avec une démo sur Stéphane Nichols qui a fait ça,
qui travaillait chez Spring, qui montrait comment passer de Spring Boot 3.1,
je sais plus combien, à une version Early Access de Spring Boot 4.
Il a commencé par faire un passage de 21 à 25.
Il a juste mis 25 là où il y avait 21 dans son pomme.
C'est d'ailleurs un gradle.
Et il a recompilé et ça a juste fonctionné exactement de la même façon.
Il s'est vraiment rien passé.
Tu peux dire que c'est une démo, il l'avait préparée, j'en suis sûr.
Mais il n'empêche que ça reste quand même facile.
On a de la plupart de nos clients qui utilisent Java.
Mais on voit aussi qu'il y a beaucoup qui sont retisans à bouiller de versions.
Vous savez un peu d'estat côté oracle et de l'adoption de différentes versions,
ou c'est un peu du doux à mouiller.
Non, ce n'est pas doux à mouiller.
Il y a des statistiques assez précises.
Et d'ailleurs, qui ne sont pas faites que par oracle.
Si c'était que oracle qui les faisait et qui les publiait,
les gens dirait « ah oui, mais c'est oracle, machin, voilà ».
Donc ça perdrait probablement crédibilité pour des raisons qui sont normales.
Je ne veux pas critiquer ça.
Et quand tu regardes les sondages qui sont faits,
t'as plusieurs trucs qui font ça, t'as Stack Overflow qui en fait.
Régulièrement sur Reddit, il y a des choses qui sortent comme ça,
à droite et à gauche, sur les statistiques d'adoption.
Tu te rends compte qu'en fait, la vitesse de l'adoption s'accélère depuis 8.
Il y a plus en plus de projets et depuis 11,
encore plus de projets depuis 11 qui adoptent vraiment très très tôt les nouvelles versions.
Alors souvent, les gens sautent d'une version LTS à l'autre,
donc 17, 21, 25, 11, 17, 21, 25.
Mais moi je vois quand je fais des présentations,
y compris des présentations en privé chez des industriels,
chez des sociétés,
les gens, il y a un mois, la majorité était en 21,
avait le projet de bouger en 25,
et donc j'imagine qu'aujourd'hui,
il y a déjà beaucoup de gens qui tournent en 25.
Et quelque part, ça se comprend.
Quand t'as une migration qui se fait facilement,
qui se fait sans, je ne sais pas dire sans effort,
parce que ce n'est pas vrai, il y a quand même un petit peu de travail,
mais sans douleur on va dire,
une migration qui se fait sans douleur.
Et que derrière, sans même changer ton code,
parce que c'est aussi l'argument,
ah oui on va prendre la 25,
mais les nouveautés du langage,
on ne va pas les prendre tout de suite,
évidemment on ne va pas les prendre tout de suite, tout le monde le sait.
Mais il n'empêche que t'as un JIT qui fonctionne mieux,
t'as un garbage collector qui fonctionne mieux,
t'as une JVM qui est plus rapide.
C'est comme ça que Java fonctionne depuis le début.
Tu passes d'une JVM à l'autre,
et magiquement,
ton application est plus rapide,
juste parce que la JVM marche mieux.
Voilà,
tu consommes moins de mémoire,
ton JSC marche mieux,
ton JIT est plus efficace,
t'as plus d'optimisation,
ton application,
tu vas gagner du temps CPU,
elle va moins consommer en mémoire, etc.
Et derrière,
toutes tes factures cloud, etc.
ça va voir dessus,
ça c'est bien évident.
Tu sais, le jour où
les chaînes de caractère
qui étaient systématiquement encodées sur 16 bits,
chaque caractère était encodée sur 16 bits.
Et puis,
les gens sont en du compte qu'en fait,
sur les 16 bits,
il y en avait 8 qui n'étaient jamais utilisés,
ils ont dit,
maintenant, changer le tableau de char
qui était dans la clastring,
maintenant, c'est un tableau de byte.
D'un seul coup, les chaînes de caractère
elles se sont mises et utilisées que 8 bits.
Dans l'empreinte mémoire,
ça se voit,
et derrière,
ça veut dire aussi moins de pression sur le GC,
donc moins de temps c'est pué pour le GC.
Donc, c'est...
Et ça, tu n'as même pas besoin de recompiler ton code,
tu chances juste de version,
et c'est tout.
T'as rien besoin de faire.
Il n'y a pas besoin de version.
Donc, t'as un côté magique.
C'est assez clair.
Oui, tout à fait.
Mais, quand tu prends une équipe de...
je ne sais pas, une équipe de 10 personnes,
voilà.
Et puis, tu gères une base de code
qui fait 2 millions de lignes.
Les 10 personnes qui travaillent,
même si c'était des gens qui travaillent 24 heures sur 24,
ce qui n'est pas le cas.
Ok, Dieu merci.
Ces gens, ils ont pris le code,







ils n'ont pas une capacité d'agir
sur 1 million de lignes de code
entre 2 versions pendant 6 mois.
Ils vont peut-être être capables d'agir
sur, je ne sais pas, 100 millions de code,
quelque chose comme ça.
Donc, le 10e de l'application.
Donc, ça veut dire que, d'année en année,
t'as tout un legacy qui reste là
où quelle personne ne touche,
et personne ne prévoit même d'y toucher.
Et ce legacy, s'il a été écrit en 8,
il y a des choses dedans qui pourraient être
bien mieux écrites et bien plus efficacement,
avec du code plus efficace et plus propre,
et plus beau, etc.
Tout ce que tu veux.
En 21 ou en 25.
Mais personne n'a le temps de faire ça,
personne ne le fait.
Et puis si c'est du code qui marche,
pourquoi est-ce que tu fais ça ?
Il n'empêche que si tu bouges ce code
sur une JVM 21 ou 25, 25 encore mieux.
Parce qu'il y a vraiment des nouveautés
dans le GC entre 21 et 25.
Ben, ton code, il va s'exécuter plus rapidement.

Et je veux dire, tous les projets sont comme ça.
Tu ne peux pas, il n'est pas question
de réécrire, donc,
1 million, 100 000, ça fait 900 000,
a priori.
Il n'est pas question de réécrire 900 000
de codes, comme ça, juste pour la beauté de la science.
Ça n'existe pas.
Personne n'a le temps, personne n'a les moyens de faire ça.
Et donc, bon.
Mais c'est ce qui s'est un peu passé
quand on a fait des migrations
entre JV8 et JV11.
Je me souviens d'avoir changé des centaines de lignes de codes
pour justement pâtir des projets
qui étaient écrits en JV8,
pour les faire tourner en JV11.
Par contre, après, effectivement,
comme tu l'as dit,
j'ai aucun problème pour les Bumps
jusqu'en JV21.
Aujourd'hui, ils tournent en JV21 sans problème.
Et ils tourneront, je pense, sans problème en JV25.
J'avais essayé de les faire tourner en JV24,
mais c'est plus là qu'il y a des dépes
qui supportent que les versions LTS de JV8.
Donc, elles tombent que ça bump sur les JV25.
Le point des dépendances, il n'est pas négligeable.
Ça, c'est sûr.
Ça, c'est sûr.
Et,
Viallette,
je me demandais les nouveautés de JV25.
Je me suis donné la chance de vous voir pour ce épisode.
Je serai prête que je vous ai dit de se partir
pour le deuxième épisode.
Et je vous demandais plutôt que les LTS
soient un concept qui coûtait le développement de la JVM,
pour les LTS,

pour les Canons,
pour les JV25,
pour les LTS,
pour les LTS,
pour les marketing,
pour les support,
est-ce qu'il y a d'interesse
à basculer les LTS en LTS
ou en vérité,
ça ne s'y rend rien ?
Explique-nous un peu tout ça, s'il te plaît.
Alors,
en fait, tout ça,
ça vient du fonctionnement interne
de l'OpenJDK.
L'OpenJDK, c'est une association
de gens.
Alors, il y a des salariés d'oracles,
mais il y a des salariés de plein d'autres sociétés dedans,
qui contribuent au développement de la plateforme Java.
Donc, qu'est-ce que ça veut dire,
en deux mots,
ça veut dire contribuer à l'écriture des spécifications
et à l'écriture d'une implémentation de référence.
Ok.
C'est ça que ça veut dire.
Quand on regarde l'effort de développement,
et chaque six mois,
cet effort de développement,
il est quantifié, il est publié,
donc c'est des données qui sont publiques,
quand on regarde l'effort de développement,
c'est
un peu de chose près,
je crois que c'est entre 75 et 80%
oracle,
et les 20% restants,
dans ce paquet-là,
la première contribution, c'est les indépendants.
Alors, qu'est-ce qu'on entend par contribution ?
Ça peut aller d'un bug report,
à l'écriture entière d'une fonctionnalité
qui va toucher le langage
des APIs et la JVM.
Donc, c'est vraiment
une contribution, c'est vraiment très large.
Et j'en profite pour passer le message,
si vous trouvez un bug
dans la JVM
ou dans une API,
faire un rapport de bug,
ça a de la valeur.
Et c'est compté comme une contribution
du point de vue du projet.
Donc, c'est vraiment...
Ça peut même...
Un bug, ça peut être quelque chose de très...
J'ai envie de dire de très microscopique,
ça peut être une ambiguïté
dans un morceau de documentation, par exemple.
Ou quelque chose,
ou un exemple dans la documentation
qui manquerait,
ou qui serait pas exactement...
Voilà,
qui mènerait à une ambiguïté
ou ce genre de choses.
Ça commence là, la contribution.
Donc, vraiment,
j'en profite pour passer le message
aux gens qui nous écoutent.
Chaque contribution compte
et chaque contribution a de la valeur.
Ça, c'est...
Voilà.
Donc, ça s'est fait.
Donc, voilà.
Donc, il y a des gens qui...
Alors, dans ce paquet de gens,
il y a des gens de dbm.h.
Il y a des gens de credit,
il y a des gens de Google,
il y a des gens de HP,
il y a des gens des SAP,
il y a tout plein de gros...
de gros industriels
de l'informatique
qui sont présentes, qui contribuent
à la JVM.
Et donc, c'est un effort commun, en fait.
Tout ce truc-là, c'est un effort commun.
Parmi les JAP,
parmi les dernières JAP
qui ont été faites,
il y en a qui ont été écrites
par des indépendants, par exemple.
Donc, même les JAP,
c'est pas que des gens d'oracle
qui les écris.
Voilà.
Et l'OpenJDK
publie donc tous les six mois
de nouvelles versions de ces spécifications.
Et une nouvelle version
de la plateforme.
Alors, il y a la JVM,
il y a le compilateur,
et puis, il y a toute la librairie Runtime,
qui est le JDK,
donc, en gros, c'est au mode
l'ancien RT.jard,
donc, il y a toutes les classes
avec lesquelles on travaille.
Voilà.
Donc, tout ça, tous les six mois,
il y a une nouvelle version qui sort.
Tout le code source, il est sur GitHub.
Tous les développements
de chaque projet
référencé dans l'OpenJDK
sont publiés
sur des branches
GitHub également.
Donc, tout ça,
ça se fait en Open Source.
C'est complètement ouvert.
Si vous avez envie de télécharger
la branche Valala, par exemple,
parce que le projet Valala vous intéresse,
et construire une JVM Valala
sur la branche
que vous avez téléchargée,
c'est parfaitement possible.
C'est documenté.
Et ça vous prendra à peu près,
on va dire, une demi-heure
de construire
une distribution,
enfin, comme dire,
de construire un compilateur
et une JVM
et la pay-run time
de cette branche de Valala.
La compilation
elle prend entre 15 et 30 minutes
dépendamment de la machine
dont on dispose.

Et donc, sur ce cycle de six mois,
au début, il y a une première version
qui est publiée,
qui est publiée sous licence GPL.
Alors, il y a des exceptions, etc.
Donc, la licence,
il faut regarder ça précisément.
Je ne suis pas juriste,
donc je vais éviter de parler
de ça trop en avant.
Et puis, il y a deux versions
de mise à jour
sur ce cycle de six mois,
donc, qui doivent sortir
tous les deux mois, j'imagine.
0, 2, 4.
Et puis, au bout de six mois,
c'est la version N1 Plus 1.
Donc, il y a une version 25-0-1
et 25-02
sur le calendrier qui sont prévus.
Et quand la 26 sort,
il y a plus de patchs sur la 25
qui sont diffusés
sur le site de l'OpenJDK.
Si vous allez sur openjdk.org,
il y a une page
avec toutes les versions archivées
depuis pas mal de temps,
pas depuis le début,
mais depuis assez longtemps quand même.
Et en fait, quand on regarde
les versions qui sont publiées,
pour chaque version majeure,
il y a trois versions.
La version initiale,
deux versions de patchs,
et puis après, on passe
à la version majeure suivante.
Donc, si je regarde la 25...
Comment ? Pardon ?
« Yaskalah on te suivian,
la célé-cycle début deff,
c'est clair. »
Voilà, c'est le cycle classique.
Donc, du point de vue de l'OpenJDK,
du point de vue de ce que font
les gens de l'OpenJDK,
la 25 va devenir obsolète
quand la 26 va sortir.
Et il y aura plus de patchs
sur la 25,
une fois que la 26 sortira.
Ok ?
Alors, après, il y a des gens
qui peuvent faire partie de l'OpenJDK
mais qui font ça en annexe
de leur travail dans l'OpenJDK,
qui vont faire des versions
dites MTS,
ou des versions LTS,
donc, ils vont continuer
à faire des patchs sur la 25,
sur la 21, etc.
Mais ça, c'est une espèce
d'accord entre des vendeurs
qui s'engage auprès
d'un certain de clients,
de leurs clients,
à publier des patchs
sur ces versions-là.
Et donc,
il y a eu une espèce de convention
au niveau de Java,
je crois que ça part sur de la 17,
que ça a été fait,
de se dire, ok,
tous les deux versions,
on va offrir
un support à long terme,
avec des patchs,
des correctifs de bugs,
des patchs de sécurité,
ce genre de choses,
sur ces versions,
donc toutes les 4 versions.
Donc, 17, 21, 25,
et puis la prochaine,
on sait déjà que ce sera la 29,
qui sortira dans 2 ans.
Ok, voilà.
Mais ça,
si je vais regarder
les versions disponibles
au téléchargement
sur le site de l'OpenJDK,
ces versions-là,
je ne vais pas les voir,
il va falloir que j'aille ailleurs,
que j'aille sur le site
des personnes-là.
Il y a des gens qui offrent ça,
de façon payante,
il y a des gens qui offrent ça gratuitement.
Ok, Eclipse, alors,
je ne sais jamais,
il y a le projet,
c'est le projet Temurine,
et leur distribution s'appelle
Adoptium, c'est ça.
Je ne sais jamais
quel est le nom de la version,
la distribution et le nom du projet.
Je crois que c'est le projet Adoptium,
le projet Adoptium,
et la distribution s'appelle Temurine.
En tout cas,
quand tu utilises
ce décamane
pour installer
les différents GBMs,
il apparaît comme Temurine.
Voilà, Temurine,
ça doit être le nom de la distribution,
et le projet qui gère ces distributions
s'appelle le projet Adoptium.
Donc, si on va sur la Fondation Eclipse,
tous les logiciels que Eclipse fournit
sont gratuits et open source,
donc on peut télécharger ça gratuitement,
et Eclipse va fournir
comme ça des niveaux de page
pendant un certain temps.
Et puis après,
si on paye un abonnement
chez un vendeur,
moi je travaille chez Oracle,
donc j'ai parlé d'Oraq,
mais Oracle est bon.
Je crois qu'il y a une vingtaine de vendeurs
qui offrent du support technique,
et bien on va pouvoir aussi
bénéficier de page comme ça.
Quelquefois, il y a même des offres
qui consistent à backporter
des fonctionnalités de la GVM,
tels que le GC ou des choses comme ça,
dans des versions plus anciennes,
de façon à bénéficier
de certaines avancées,
des composants qu'on voit pas,
et qui font que ça marche
magiquement vachement mieux
au niveau de la GVM
qu'on utilise.
Et ça, si tu veux,
ça a une conséquence
qui est vraiment importante
au niveau de l'open JDK,
c'est que la 24,
c'est pas une préversion de la 25,
ou la 28,
c'est pas une version beta
de la 29.
Chaque version est construite
de la même façon,
avec le même niveau de qualité,
avec le même soin apporté
au test, etc.
y compris les tests de performance,
y a pas une version
qui serait de meilleure qualité
qu'une autre.
Du point de vue de l'open JDK,
du point de vue des spécifications
et du point de vue du code source original,
là, y a pas de différence.
Ok, c'est important.
C'est un point de différence.
Oui, c'est important.
Une assurance de mise à jour
de sécurité dans le long terme,
plus qu'une...
Si y a une feature
qui est prête pour la 24,
mais que c'est la 25, la LTS,
elle sortira quand même sur la 24.
C'est le cas par exemple.
Absolument.
Je vais te donner un exemple très précis,
qui est...
L'une des grosses nouveautés de la 21,
c'était les threads virtuels.
Donc voilà.
Les threads virtuels ont été publiés en 21.
Il n'y avait pas les scope values,
il n'y avait pas la concurrence structurée.
C'était intéressant de l'avoir,
mais c'était pas encore complet,
on va dire,
en termes d'API,
pour pouvoir les utiliser à fond,
enfin, jusqu'au bout.
Et en 24,
il y a un fixe sur les threads virtuels
qui a été publié,
qui est...
Alors, il faut pas rentrer dans les détails techniques,
mais les gens ont peut-être entendu parler de ça.
Quand un thread virtuel exécute du code natif,
quand un thread virtuel exécute une tâche
qui comporte du code Java,
qui appelle du code natif
et qui rappelle du code Java après,
et que dans ce bout de code Java,
il y a un block synchronisé.
Non, pardon, je mélange des choses.
Je reprends.
Bref, il y avait un problème de pinning,
c'est-à-dire que le thread virtuel
pouvait pas être démonté
du thread platform
qui était en train de l'exécuter.
Il y avait ce problème dans les blocks synchronisés.
Et ce problème,
il a été fixé.
Alors, c'est pas vraiment un bug,
parce que c'est comme ça que ça fonctionnait, en fait.
Mais bon, ça a été refactoré.
Le problème a été résolu en 24.
24, c'est pas une LTS.
Donc, si des gens
faisaient des threads virtuels
à haute dose
et qu'il y avait la possibilité de prendre la 24,
magiquement, leur code,
il marchait mieux,
parce qu'il y avait plus de problèmes.
Potentiellement, leur code pouvait mieux fonctionner,
parce que ce problème avait disparu.
Et le fixe, il a été publié en 24.
Qu'il n'y ait pas une LTS au sens...
Mais les pages de sécurité, encore une fois,
les personnes qui téléchargent
les distributions disponibles
sur l'openJDK,
les pages de sécurité,
quand on a 26 sort, il y en a plus sur la 25.
Il faut aller les chercher ailleurs.
Parfait.
Donc, oui.
Les gens qui disent, je télécharge l'openJDK,
ça, c'est juste une bêtise.
Donc, ne télécharge pas l'openJDK,
c'est une association de gens, l'openJDK.
Je télécharge la mérite Paris.
Tu télécharges pas la mérite Paris.
Tu télécharges éventuellement le projet.
Mais voilà, c'est ça.
Télécharge éventuellement le projet LUTES,
mais pas la mérite Paris.
Merci. Là, c'est beaucoup plus clair.
Bon, et comme je disais,
tu vas nous parler de nouveautés
de Yavavansank
qui m'a donné le deuxième épisode,
parce qu'on va continuer,
on avait d'autres news que l'on voulait parler.
Tanguy,
tu m'as dit,
tiens, on n'a pas...
on n'a pas mis dans la liste les annonces Steam,
qui est dit quelles annonces Steam.
Tu nous racontes un petit peu
les annonces Steam
et pourquoi ça t'intéressait.
Alors c'est tout récent,
parce qu'au moment où on enregistre, ça date d'hier.
Steam,
annonce qui vont étoffer
leur proposition hardware
qui nous portait déjà le Steam Deck,
qui était déjà quand même une belle évolution
dans le milieu du jeu vidéo
sur la façon de jouer,
avec un nouveau Steam Controller
qui méritait quand même
une mise à jour par rapport au dernier.
Une nouvelle Steam Machine
et le Steam Frame
connu depuis maintenant
plusieurs années sous le projet
de Descartes.
On avait déjà eu des news
de Descartes, comme quoi Steam voulait
faire un nouveau casque virtuel,
potentiellement pouvoir le connecter au Steam Deck
et pouvoir streamer
de manière portable.
Mais en fait,
ils ont
complètement ouvert,
depuis qu'ils ont complètement ouvert Steam OS
il y a quelques mois,
maintenant,
ils proposent une machine
qui fait tourner Steam OS
donc un casque VR
qui fait tourner nativement Steam OS
qui est capable de faire tourner les jeux
que fait tourner déjà le Steam Deck
et qui dispose
d'un dongle qu'on peut connecter
à n'importe quel PC qui fait tourner Steam
ou un Steam Deck
pour pouvoir streamer les jeux depuis
n'importe quel PC qui fait tourner Steam ou un Steam Deck.
OK.
Et d'ailleurs,
j'ai essayé de trouver l'article
qui parle un peu plus de ça, je n'ai pas trouvé.
Ils ont fait des mises à jour de Protons
qui est leur couche de compatibilité
entre
pour les jeux Windows
et le système sous-jacent Linux
parce que le Steam Deck
et les Steam Machines tournent sur une
Steam OS, c'est une version de
Arc,
d'Archinux.
Ils ont
fait des mises à jour dans Protons pour que les jeux
Windows tournent mieux
sur Steam Frame
y compris si c'est des jeux non VR.
OK.
Donc
je suis
très hype.
On n'a pas de nouvelles
exactement de prix
ou de date de disponibilité exacte.
Les Steam Frame
sont annoncés pour début 2026.
Les Steam Machines et Steam Controllers courant
en 2026.
Les Steam Machines donc c'est
un petit ordinateur
de stop fait par Steam, optimisé pour les
jeux mais qui a un ordinateur.
C'est plutôt un console un truc fermé.
C'est ça.
Alors ils ont fait dans l'annonce
ils sont très clairs que c'est complètement ouvert
et vous pouvez installer ce que vous voulez dessus.
Comme un Steam Deck.
La Steam Machine
c'est un ordinateur
avec du silicone AMD
un peu custom.
Oh silicone AMD, OK.
Voilà.
Et donc c'est
avec un processeur AMD, je crois que c'est
Cicardous Sred et du
RDNA 3
en Ivoire City Trené Graphique.
16 gigadrammes.
C'est à dire avec un Linux
et
tout ça.
Livrer nativement avec un Linux si on peut installer
ce qu'on veut dessus, on peut installer Windows si vous voulez.
Il peut l'utiliser pour d'autres choses
que pour UI mais ça va être
complètement si.
Complètement c'est un ordinateur
et d'ailleurs
c'est un ordinateur
qui comprend même un truc
un peu spécifique
qui est un...
Les antennes wifi et les antennes Bluetooth
il y a une antenne qui est dédiée pour être connecté à un Steam Controller.
OK.
Donc le...
d'ailleurs le Steam Controller en fait c'est un...
Si vous souvenez il y a quelques années Steam
avait sorti une espèce de manette bizarre sans joystick
mais avec deux gros trackpad sur les côtés.
Oui.
Et tout le monde trouvait ça un peu
à la fois super cool
mais en même temps très bizarre et pas forcément
fonctionnel.
Et depuis ils ont ressorti
maintenant ils ont annoncé un nouveau Steam Controller
qui est basiquement les contrôles
du Steam Deck en une manette.
OK.
Donc avec les deux petits trackpad, le D-pad
des vrais joysticks, des vrais boutons.
Je prends les deux côtés
de Steam Deck et téléfusion plus ou moins.
C'est ça si vous avez votre switch
avec vous vous prenez vos deux joy-cons
vous les mettez dans le grip et ça vous donne
c'est ça le Steam Controller quoi c'est
vous prenez vos deux trucs de Steam Deck, vos deux joy-cons
de Steam Deck et vous les mettez au milieu et ça fait
un Steam Controller.
Donc avec les petits trackpad
des chaque côté pour les pouces et tout.
C'est ça.
Et donc si vous voulez faire une partie de Siv chez vous
sur votre télé machin avec les deux petits trackpad
normalement c'est censé être possible.
J'attends de voir
je suis très curieux quand même
et je suis
potentiellement intéressé
on va attendre plus d'informations
on va voir plus de tests peut-être mais
c'est d'excellentes nouvelles.
Un petit truc où je suis un peu déçu
quand même sur la Steam Machine
ils ont pas annoncé
de mutabilité
de
façon
d'augmenter
les caractéristiques
en interne.
Donc je crois pas qu'il y ait de façon de modifier le SSD
mais ils expliquent qu'on peut augmenter
la capacité de secage via des cartes microSD
Je sais pas
quel point je suis convaincu
parce que
j'ai changé le SSD en interne
peut-être.
C'est une machine avec un facteur de forme
plutôt petit et compact
donc ça pourrait expliquer pourquoi
ce n'est pas tellement possible
de changer de composants en somme
un peu comme les microordinataires
ou les nukes qui ont un peu partout
c'est ça c'est...
C'est ça.
J'ai vu rapidement
une vidéo de Gamers Nexus
où ils étaient allés à l'annonce officielle
chez Valve
où ils démontent
une Steam Machine
donc si vous voyez la Steam Machine
les trois cartes supérieures sont juste en radiateur
et c'est
un seul radiateur pour le CPU et GPU
C'est...
C'est assez rigolo
à voir. D'ailleurs j'ai vu
des commentaires sur cette vidéo qui l'appelaient le
GameCube
Je vais pas dire de voir des photos
effectivement
c'est un cube
c'est un petit cube
C'est ça c'est ça
qui en plus
il est un facteur de compatibilité
de congluant assez forte
parce que ça ne crie pas ordinateur Gameer
c'est un truc qui
pourrait être très bien dans sa
salon, sa...
de sensibilité.
D'ailleurs même sur le site officiel
on voit que la façade est amovible
et ils ont des personnalisations
donc il y a des gens qui ont des façades
en bois, ce genre de choses
c'est assez stylé
Bon bah on regardera ça
donc sorti en 2026
Bon nickel
On a fait notre petit news gameer
Aurélien
de quoi tu voulais nous parler aujourd'hui
racontez nous
Alors moi j'ai un petit sujet qui est
déjà sorti en août
c'est assez ancien du coup
c'est la documente DB
qui est adoptée par la fondation Linux
C'est très bien, on ne l'avait pas parlé
mais avant ça il va falloir nous
expliquer
qu'est-ce que c'est documente DB
parce que c'est un truc très difficile
On va peut-être partir déjà sur l'historique
et sur le contexte et sur tout ce qui s'est
passé avant
donc on va faire un petit... va remonter dans le temps
donc avant les années... enfin avant 2018
donc il y avait MongoDB
qui était une base noSQL
pour not only SQL
donc qui permettait
notamment au développeur de stocker
des objets au format JSON
dans une base de données
donc ça a eu une adoption assez
intéressante, enfin les développeurs aimaient bien
utiliser cette base de données là
ou des bases similaires à MongoDB
et MongoDB avait une licence open source
donc c'était je crois la GPL
assez facile à installer
et à
des employés un peu partout
et les cloud providers ont déjà commencé
à l'utiliser et à
permettre aux différents développeurs
qui développaient les applications chez eux
d'utiliser des bases de données MongoDB
ce qui n'a pas forcément plus côté
MongoDB et ils ont
fait, je pense les premiers je crois dans l'histoire
à faire ce genre de changement
de licence assez drastique
où ils sont passés d'une licence donc
un GPL à SSPL
pour server-side
public licence
et leur objectif c'était vraiment d'empêcher
les différents cloud providers
de monétiser MongoDB
sans avoir une licence MongoDB
et donc sans leur reverser
une partie des bénéfices qu'ils avaient
le gros problème de la
SSPL qui a eu c'est qu'en fait
t'avais une obligation
si tu déployais du MongoDB
et que tu le revendais
d'open source et l'intégralité
de tous les services que tu avais écrit
donc dès qu'on proposait du MongoDB
on avait l'obligation de tout open source
ça a été aussi
un problème puisque la licence
de MongoDB n'était pas reconnue
comme une licence open source
par l'OSI donc l'open source
initiative
donc de là forcément il y a eu des réponses
qui sont arrivées dans l'écosystème
dans l'écosystème déjà
Débian, Red Hat, Fedora ils ont complètement abandonné
le support de MongoDB
dans leur distribution
à cause de la licence SSPL
donc on ne pouvait plus installer
de MongoDB là sur ces OS là
et Amazon Web Service
AWS
ça lancé un service propriétaire
de MongoDB
qu'ils ont aussi appelé documents de DB
même si c'est pas le même document de DB dont on va parler
mais c'est important de le mentionner
Close Source évidemment
et donc qui propose un service compatible
MongoDB basé sur leur technologie
Close Source
ce qui va forcément créer
des tensions dans l'écosystème cloud
entre MongoDB
et différents providers de cloud
en 2021
il y a eu une initiative
lancée par une entrepêse
qui est appelée FeredDB
qui permet d'avoir une sorte de proxy SQL
entre MongoDB
et Postgre SQL
donc l'idée c'était de le dire
On peut faire un petit spoiler
FeredDB qui sera
bien tout disponible
Clevercloud que ton équipe
est en train de finir d'industrialiser
c'est ça ?
c'est ça on aura forcément un petit bêta
tu se pourras une un peu la suite
de mes explications mais j'en reviendrai après
mais oui
oui l'idée c'est qu'on puisse avoir
une disponibilité au moins techniquement
de pouvoir déployer des adnpos gré SQL
avec FeredDB prochainement
sur les offres des bases de clevercloud
donc qui se sera avoué intéressant
de pouvoir tester
et on va essayer de développer ça
pour avoir une vraie couche
compatibilité au MongoDB
et le document
en tout cas sur les services clevercloud
bon on va en fait
arrêter ce spoiler
il n'y a pas de problème
et du coup en 2021
FeredDB s'est lancée
au début c'était très expérimental
je crois qu'ils ont fait aussi des initiatives
sur
sur du SQL lite je sais pas trop ce que ça a donné
mais en tout cas ils ont testé des trucs
en 2023 ils étaient disponibles
en version 1.0
mais c'était vraiment découplé de la base
c'est à dire qu'on avait le serveur
PostgreSQL qui fonctionne classiquement
et devant on venait déployer un proxy
FeredDB
les choses ont changé
en 2025 ce que début janvier
2025
Microsoft a
a open sourcé
une extension
qui s'appelle documentDB
qui est une extension
que l'on installe sur un serveur PostgreSQL
et
cette extension documentDB
c'est vraiment le coeur le moteur
qui est utilisé par l'offre
de Microsoft Azure
qui va permettre
de faire du MongoDB
sur la plateforme cloud de Microsoft
et du coup
en août
c'est l'annonce
qui vient d'être fait
dans le blog post que je partage
c'est que
cette extension
va rejoindre la ligne de fondation
ça va pas mal de changements
mais déjà on va résumer un peu
ce que c'est documentDB
c'est l'extension qui permet de stocker
du binary JSON
dans le PostgreSQL
et qui va permettre aussi de supporter
des requêtes sur
ces JSON
avec une licence open sourcé MIT
donc classique
et derrière
Alier à ferretDB
ferretDB a complètement changé
sa façon de
construire son proxy
c'est à dire qu'à partir de la version 2
donc la version 2.0
ils utilisent nativement documentDB
ce qui leur permet de devenir d'être efficace
dans
le stockage
de données documents
dans un PostgreSQL
et surtout voilà là depuis le 10 novembre
de
2025
ils ont sorti conjointement
une version 0107 pour documentDB
et 2.7 pour ferretDB
elles appartent pas beaucoup de nouveautés
à part le support du MCP
donc les protécolles pour les agents IA etc
mais surtout une vraie synergie
entre la moteur
Postgre et la
d'extension documentDB
et le proxy SQL
qui permet d'avoir une compatibilité
MongoDB
sur un savoir Postgre
et c'est une alternative
qui devient 100% open source
vraiment à MongoDB
et le plus important
c'est qu'est ce qui a découlé depuis août
on se rend compte qu'il y a une coalition
industrielle des grands
du cloud qui s'alignent
sur ce modèle là avec
des portabilités multi cloud etc
mais AWS, Google, Microsoft
et compagnie
même CoCoach, Superbase etc
rejoignent un peu ce mouvement là
et il y a un deuxième blog post que j'ai partagé
où en fait AWS a carrément
rejoint le comité technique
et va contribuer activement
sur documentDB
mais la version open source
et ils veulent rebasculer
certaines de leurs innovations
de documentDB
dans la version open source
et c'est pareil ils veulent adopter
les fonctionnalités open source
du coup dans leur service
du coup ça ouvre des perspectives
qui sont hyper intéressantes
et à ce qu'elle point est-ce qu'elle va y avoir
des nouveaux standards en fait sur ce stockage
de documents SQL, sur documentDB etc
en tout cas c'est une page là qui est en train de s'ouvrir
de une chance de pouvoir peut-être même redéfinir
une vraie alternative à MongoDB
qui ne soit même pas le protocole MongoDB
en utilisant demain l'extension
documentDB de PostgreSQL
et en plus je ne l'ai pas parlé
mais c'est vrai qu'on s'en offre aussi
toutes les garanties
d'un point de vue opérable
enfin quand on opère un PostgreSQL
par rapport à opérer un MongoDB
du coup on va pouvoir retrouver
tout ce qu'on retrouve dans l'écosystème PostgreSQL
qui vont être natifs et qu'on va pouvoir utiliser
sur des bases de données
avec on l'aura juste installé
un documentDB en extension d'un PostgreSQL
donc sélectivement ça limite
pas mal de nouvelles choses
à apprendre sur un système
pour des gens qui ont déjà l'habitude d'opérer
des bases de données PostgreSQL
donc voilà pour la nouvelle
je ne sais pas si c'était des questions ratio
mais aussi vous voulez réagir Tanguy et Jodé
il y a un petit truc aussi
ça arrive à un moment
où les librairies
qui supportent MongoDB
vont
arrêter le support
de la dernière version
sortie en licence open source
en plus aussi
donc si vous utilisez du MongoDB
sur la dernière version open source
qui est la 4.e calque
vos librairies
vont bientôt ne
ne bientôt plus supporter
cette version là
donc la ça veut dire qu'il y a
pour beaucoup de monde
il y a une soie à faire quoi
c'est ça
soit vous payez votre fête
à MongoDB vous cherchez autre chose
c'est...
nickel
merci pour ça et je pense
que vous saurez
que FeredDB sera disponible pour tester
on se fera un petit streaming pour montrer tout ça
je compte sur vous de
si non
on va continuer avec le news
et vous n'avez pas un épisode
de la vidéo de la plus grande
qui ne parle pas de la sécurité
ça devient marronnier malgré moi
qui passe
mais
il y a un peu de
des normaux
qui deviennent normalement
et qui ont fait
une partie de moi
qui est très rigoleuse
c'est le cas de caractère invisible
unique
le public
le public
le public
c'est tout un série de caractères
unique
qui ne s'affiche pas
sur l'écran
il y a de 3
de la utilisation sur les mains
très intéressantes et très pertinentes
pour ce type de caractère
mais
ce type de caractère
on était utilisés depuis
déjà un bon moment
pour un projet de opensource
et donc là
le lien que je vous montre
il fait l'analyse de plus
c'est le repository Githab
qui était ici
pour le request
qui fixait de bugs
qui corrigeait de problèmes
qui ayait vraiment
quel que soit ce bon projet
mais qui l'ayait
en petite ligne
de caractère invisible
d'aller qu'il s'injectait
de pilot toxic d'aller proyer
et
quantifier
la vérification
de la pull request
tu vois qui ligne est aidée
mais il ligne
qui semble vide
et tu vois qui la corrigeait de bugs
si tu n'es pas si corrigeé
tu vas pas le dire
tu me fais la ligne vide
ça n'a rien à faire
parce que si tu veux
une présentation de la route
tu acceptes la pull request
tu vois un repository
qui comprise
de la fin
de rien
effectivement
il va faire un analysis
de la ligne
de la ligne
dans laquelle il préfère
littéralement
de se quitter
et donc je trouve ça incroyable
c'est le gilet
qui ne va pas contribuer au projet
de façon efficace
qu'il y ait un bug
fixer un problème
et on profite
pour déposer notre petit pilot
d'aller proyer
sans que personne ne se réincontre
il commence à avoir
priori
de soutier pour vérifier
qu'il n'y a pas de caractère invisible dans ton code
mais simplement l'idée que c'est possible
et que tu as trouvé ça incroyable
je ne sais pas
je ne sais pas vous
je ne sais pas si vous connaissez
de l'acéac
du tout c'est terrifiant
on avait déjà parlé
même de
des hacks de
alors on n'avait pas parlé de ça exactement
on avait parlé de typosquating
qui permettait
de télécharger de mauvaises extensions
c'est ça
ça me fait beaucoup penser à ça
et
c'est vrai
dans l'article, il dit
qu'il n'y a pas vraiment de défense contre ça
puisqu'on peut se défendre que qu'on se convoie
mais c'est ça
après la défense
les sous-titres que je veux qu'il y ait sur c'est un peu
c'est qu'il défend
il cherche les caractères invisibles
donc il s'analyse
les codes
il cherche les codes de la plage
il t'aimait un gros warning
il y a des codes qui ne s'affiche pas dans ton code
c'est mien que rien
mais c'est un peu comme le type
d'esquating
tu vois d'aller un truc
qui visuellement c'est identique
mais tu ne te méfies pas
tu vois pas ce caractère là
tu ne peux pas te méfier
surtout que dans beaucoup de projets
c'est la norme d'avoir une vie d'enfant
de fichier
c'est un patin qui peut très vite être exploité
sur l'introduction
de beaucoup de
enfin sur certains problèmes de sécurité
effectivement si on n'a pas de moyen de détecter
c'est compliqué à avoir
c'est surtout que si tu as déjà une ligne de vie
dans la pull request
tu vois voir
en rouge la ligne de vie
en vert il n'y a pas de ligne de vie d'aider
normalement
mais si tu as déjà entendu parler
tu as hyper sensibilisé
et tu as un bon jour
si non tu vas complètement
les séparer
tu vois
après il faut espérer aussi que
ça me fait penser aussi
il y a quelques temps les attaques
contre le paquet
XZ
oui
ou c'était justement un seul maintainer
qui a vu quelqu'un qui faisait
des comites, qui faisait du support
et qui a laissé le contrôle
au
cette tierce personne
qui en fait au final a mené une attaque
là c'est la même chose
de manière plus directe pratiquement
on n'a même pas besoin d'établir la confiance
d'établir le machin c'est juste on fait un comite
qui est correct
pour dire quelque chose qui est une idée
voilà
c'est ça c'est ça
un facteur d'attaque sans avoir le besoin
d'établir la confiance pratiquement
c'est...seigneur
est-ce que Github a annoncé
quelque chose qui pourrait pas
protéger contre ce genre de choses
du point de vue de Github
je sais pas dit comme ça
ça semble pas super compliqué de créer
une espèce d'agent qui
permettrait
de te mettre un warning
attention cette ligne élevée mais en fait
il y a ce truc là dedans
je suis complètement d'accord
ça semble et je pense que pour le moment
je n'ai pas trouvé
la news c'est de semaine dernière
donc j'ai l'élan un peu d'intens pour réagir
mais je pense que
carrément c'est une chose que Github
et Githlab devraient faire
de leur côté parce que c'est un gros
un gros red flag
tiens il y a un comite de lignes
invisibles
j'imagine qu'on a un moyen
que tu te dis moi ça
pardon excuse moi
je veux dire que
quand on fait les pluréquest pour les reviews
dans nos IDE on a peut-être
moyen de les voir je sais pas s'il y a des mécanismes
mais il faudrait creuser un peu ça
parce que moi j'ai l'habitude de review des PR
en fait sur le code localement
peut-être que là on les verrait
ça ne touche pas que le code
tu vois t'as plein de gens qui ont des pages Github
tous les sites sur Github
via github.io etc
évidemment ça touche le code et quand on parle de code
c'est assez intéressant mais je veux dire
t'as plein d'autres choses sur Github
qui sont pas du code, qui sont des textes
qui se terminent en page web et qui pourraient
du coup transporter
des informations
que t'as pas du tout envie de transporter
et qui sont là de façon invisible
qui peuvent être détectées par des moteurs de recherche
par des agents quelconque etc
enfin c'est ça
tu vois tu peux
squatter en fait avec ce genre de choses
tu peux squatter
des sites web pour mettre de l'information
que les tenants
propriétaires du site ou gestionnaires du site
n'ont pas idée qu'est-ce qu'ils trouvent
ça me rappelle que la première fois
que j'avais entendu parler de CAC
c'était un hack
contre des CLLM
c'était quelqu'un qui avait mis ça
sur un site web
pour donner de mauvaises informations
à un LLM
qui viendrait sur le site web
et l'utilisaient pour l'utilisateur
dont c'était effectivement
le premier hack que j'ai vu c'était
littéralement
lui il voit ses caractères là
toi tu ne les vois pas sous l'écran
donc oui je pense que
ça existait au début du web
dès que les moteurs de recherche
ont envoyé leur crawler pour analyser
les sites web tu sais
tu avais la possibilité de mettre des dives invisibles
avec toutes sortes de mots clés etc
pour que ton site remonte
bon
c'est terminé depuis longtemps j'imagine que les crawlers
savent se prémunir contre ce genre de
trucs mais c'est
ça a 25 ans ça
c'était vraiment au début des années 2000
oui les CEO
de mes années
qui était encore dans son berceau
c'est clair
c'est intéressant de vous poser
parce que je ne sais pas
j'ai vécu sur les change.doc github
en mai 2025
ils ont annoncé qu'ils affichent maintenant
un avertissement
quand il y a des caractères unicodes
est-ce que c'est du coup l'article
dont tu parles
d'Aikido c'est une réponse
à cet avertissement et de montrer
qu'il y a un... enfin...
ou c'était avant
je ne sais pas en fait la timeline de quand est-ce que date cet article là
l'article il a popé
un peu partout il y a une semaine
mais je n'ai pas vu la date
de origine de l'article
je sais qu'il y a l'article d'Aikido
il a popé
récemment
et il a aidé le 31 de l'article
c'est le 31 octobre
donc je pense que si c'est le cas
pour le moment il doit pas être
très fixé
vu que l'article est effectivement en date
le 31 octobre mais c'est à cause de...
après des fois ça peut être aussi l'inverse
des fois on peut publier des articles
sur des failles de sécurité
après que ce soit patché
et que GitHub est déjà patché entre temps
c'est pour ça que je pose la question
de savoir si c'est toujours le cas
ou si ils ont déjà répondu
ou si justement c'est un...
ou alors si l'article d'Aikido
c'est une réponse aux patchs qui a proposé
GitHub comme quoi leur
leur avertissement n'est pas toujours fonctionnel
mais en tout cas
ce serait intéressant de voir le lien
entre GitHub et cet article
j'ai l'impression qu'ils disent dans l'article
qu'ils disent que ces techniques
déjà utilisées avaient déjà
des systèmes de détection
mais qu'ils ont réussi à mieux les cacher
et qu'en fait ils arrivent à combattre
ces...
il y a une technique à l'article
donc effectivement il avait été
fait d'une première façon
et là va...
l'attaque est revenue
d'abord
sur la force de l'extension
de OpenB6
et ensuite sur de repo GitHub
donc ça semble être
une nouvelle façon
de faire le même attaque
sur laquelle pour le moment
GitHub
n'aurait pas de...
des solutions pour le moment
voilà
en tout cas je pense qu'ils prennent ça
je me la jette qu'ils prennent ça sérieusement
parce que ça avait déjà fait une première réponse
mais j'espère que...
il n'y a pas trop d'édoute
oui
bah bah ça se trouve là-dessus
il y a toujours des sujets de sécurité
parce que c'est
GitHub ou GitHub qui hostent
beaucoup de codes
ils ont régulièrement
des nouvelles
visage
bon il nous reste quelques minutes
on va essayer quelques trucs
pour exemple des soutis que vous savez
de découvrir
ou que vous utilisez, que vous voudriez partageir
c'est que quel canard
à l'outil de quel il voudrait parler
vous sentez inspiré
sinon il y avait parlé de... c'est pas tout à fait
à l'outil
c'est un petit depot
de un collègue de Uber
qui parlait de comment hier
la configuration de ces différents
outils de poste de dev
il a fait un petit
repos GitHub
dans lequel il met tous ces dotfiles
tous les fichiers de configuration
de tous les outils qu'il utilise
comme ça ils sont versionnés
canila, nouvel ordinateur
tout ça il peut le récupérer
et tous ces outils sont configurés
directement
et je trouvais que c'est une façon plutôt
propre de faire
il y avait déjà fait un gros tar
et les mis sur Android Box
ce sont des trucs externes
mais je trouve que les faits d'avoir
pour tous ces outils
dans sa même repository
GitHub c'est plutôt sympa
donc comme outil
c'est pas tout à fait un outil c'est plutôt
inapproche mais je voulais les savoir
que les liens la façon
d'yérer ces fichiers personnels
de configuration
bien
des pôts GitHub
j'avoue j'avais essayé
suite à un temps quand j'étais encore
rémaxion de faire
un repo avec tous mes fichiers d'outfiles
et mes configurations en max
et ce genre de choses
en lien avec ça j'essaye
d'avoir une configuration qui marche
avec Nix
et Home Manager
c'est quelque chose qui
traîne dans cléver
c'est une disc parmi
des différents cul, feintes hernes
à cléver
mais je m'y essaye
je dis pas que j'ai réussi
ça a l'air fonctionnel
des fois c'est un peu pété et c'est
un peu...
en kikinon
je pense que tu peux faire plusieurs
vu le nombre de personnes qui veulent parler de Nix
de...
ça mériterait un épisode à lui tout seul
bon bah
dans ce cas je pense que
on peut s'arrêter là mais avant
d'arrêter cette vidéo


pour l'entraînement de cet épisode
on a une tradition
je sais on t'avait pas prévenu mais
si à toi de nous donner la musique
de fan et de recommandation musicale

employer dans les oreilles de nos auditeurs
pour clôturer l'épisode
qu'est ce que tu écoutes en ce moment
qu'est ce que tu as dans la tête
qu'est ce que tu as envie de mettre dans la tête
de Yann qui ne s'écoute
alors...
je suis plus tout jeune donc j'écoute
euh...
j'écoute de la musique de ma jeunesse
donc...
la musique est un peu... qui est un peu ancienne
je pense que
les gens connaissent l'Antonio
Goncalves et avec Antonio on a une...
on s'envoie des e-mails secrets
avec des enregistrements
rares, des concerts de Pink Floyd
ou de choses comme ça qui sont disponibles
sur Youtube, quelques fois pendant assez peu de temps
et donc on se jette là-dessus
et c'est vrai que
tu vois il y a quelques mois
les gens ont fêté entre guillemets
le 50e anniversaire
oh c'est il y a plus de quelques mois
du Dark Side of the Moon
qui est leur grand album du milieu des années 70
et...
et je pense que c'est un album
qui a toujours... c'est une musique qui a toujours un peu de...
bah... qui a toujours des fans
ça c'est sûr parce que les fans sont pas tous morts encore
donc ils sont toujours là
mais qui reste...
qui reste...
moi j'ai fait coûter à mes enfants
et ça les a intrigués
tu vois ça les a intéressés
bon c'est pas le genre de musique qu'ils écoutent en permanence
bien sûr mais c'est une musique qui reste un peu
qui a un côté un peu en voutant
et qui a toujours des fans
y compris des fans
qui étaient pas forcément vivants
quand Dark Side of the Moon
ça le nous sortit
mais fit-toi si tu le mets en fin de ton podcast
parce que je pense pas que ce soit une musique tout à fait libre de droit
premièrement
et deuxièmement je pense que les intérêts financiers derrière
font qu'il y a des gros avocats
donc c'est embêtant
on fait recommandations musicales
et on met des liens vers Youtube
ou vers Spotify
pour que la personne puisse aller l'écouter
à la site
avec ça on respecte les droits
mais on donne la recommandation donc
à la fin de cette podcast
écoute, écoz de Pink Floyd
Dark Side of the Moon
je trouve ça très très bien
c'est un truc que j'écoute régulièrement
avec beaucoup de plaisir
je sais qu'en tout lieu
partage ce point de vue
donc j'en profite pour le
pour le citer également
Nicolas, merci
merci à toi
merci à Oréliane Etangui pour cet épisode
merci
et à très bientôt
au revoir, merci
au revoir