Bienvenue à toi chers compagnons et qu'est ce qui s'est passé dans le monde du cloud ou du devops
en ce mois de janvier 2022 et comme on est au mois de janvier c'est l'occasion pour moi de tout
suiter une bonne année et je pense que les podcasteurs avec moi te souhaiteraient une bonne année
et on te remercie de ta fidélité parce que mine de rien ça fait maintenant deux ans que tu nous
écoutes déblatterer sur les sujets globaux autour du devops et la petite information que j'ai à te donner
si tu écoutes le podcast et que tu ne regardes pas la vidéo sur youtube c'est que cette année
j'ai fait un bilan en live sur youtube et non plus en podcast donc je t'occurrage si ça t'intéresse
allez le voir sur youtube ça dure une heure et demi donc si tu as le temps tu peux y aller
bienvenue sur radio devops la balade aux diffusions des compagnons du devops si c'est la première
fois que tu nous écoutes abonne toi pour ne pas rater les futurs épisodes c'est parti
avec moi ce soir j'ai nicolas bonsoir nicolas bonsoir à tous j'ai aussi d'amir bonsoir à tous
et bonne année excellente année meilleur voeux que vos comites se passent bien et que vous ne
poussié pas de secret en clair d'enguie mais on en reparle et enfin j'ai renait bonsoir et bonne
année alors en effet d'amir à spoiler l'un des prochains radio des vops mais que vous n'aurez
pas ce mois-ci que vous aurez dans plusieurs mois parce que nous avons de l'avance sur les radios
des vops donc vous aurez un épisode sur les secrets un jour et pour commencer c'est moi qui vais
m'y coller et je ne vais pas vous faire vous parler de la faille de l'ocke forchelle non je vais vous
parler en fait d'une des conséquences de celui ci en fait si vous voulez en savoir plus sur l'ocke
forchelle vous renvoie à l'exemple podcast des éclairs du numérique dont le lien est dans la
description en fait qu'est ce qui s'est passé suite à ça il y a des développeurs de projet open
source qui en ont eu marre finalement que les grosses boîtes vous savez les fameux stop 500 et
autre gars femme utilisent leur projet open source sans donner de retour qui soit monétaire financier
ou avec du code ou autre grosso modo c'est ce que marak squire nous disait sur github en novembre 2020
marak c'est qui marak c'est un mainteneur de deux bibliothèques npm la première qui s'appelle
faqueur js et l'autre qui s'appelle color js en fait sur github il a près de 900 90 dpd code public
et 45 sponsors mais surtout les suivis par 3600 personnes et cette semaine en fait il a décidé
de se mettre en grève et son moins d'action est assez inédit j'ai trouvé en fait c'est pas lui qui
se met en grève c'est pas lui qui ne travaille plus mais c'est ses projets qui ne fonctionnent plus
et a priori c'est pas le seul à faire ça mais en tout cas c'est de lui dont on entend le plus
parler en ce moment certains médias comme le monde parle justement de sabotage ou de corruption
personnellement j'assimil ça vraiment à de la grève parce que on est vraiment là face à une
action proche de l'ouvrier qui refuse de prendre son poste de travail et qui donc bloque toute la
chaîne de production alors comment il s'y est pris en fait dans color js il a publié la version
1.4.44 Liberty 2 qui affiche un drapeau américain et qui bloque en fait le module il a aussi sur
facur js complètement annihilé le code il n'y a plus rien et la seule chose qu'il y a c'est un unique
comite qui fait référence à Aaron Swart qui est un développeur emblématique qui notamment a contribué
à établir créatif commune le rss ou pédite je vous renvoie à sa bio ce qu'il faut savoir c'est
que Aaron il s'est suicidé en janvier 2013 alors qu'il n'avait que 26 ans bon revenons à
revenons à nos histoires de npm sur npm en fait facur js c'est près de 17 millions de téléchargements
chaque semaine et color js environ 22 millions ça pèse quand même assez lourd donc on peut que
imaginer les effets de cette grève inédite qui sont probablement considérable mais finalement
elles font quoi ces librairies alors facur js ça génère de fausses données pour les démos et
probablement pour les tests et color js ça ajoute des couleurs dans les consoles javascript mais l'histoire
ne s'arrête pas là le 6 janvier maraque maraque nous apprend que kitob a suspendu son compte pourtant
j'ai remarqué qu'il avait pu faire un petit comite le 7 janvier donc le lendemain sur color js
ça on en sait pas plus j'ai regardé mais on en sait pas plus d'autre part le gestionnaire de paquet
npm est revenu en arrière sur les modifications de maraques en publiant une version intérieure et
en supprimant la vers la dernière version de color js qui ne contient pas en fait la version
publiée sur npm maintenant ne contient pas le fameux code Libertie bon alors pour conclure on a
finalement des gens un petit peu partout dans la communauté open source qui en ont marre de soutenir
les grosses boîtes avec leur code sans avoir de retour on se souvient notamment de la licence
de mongodb qui avait changé par rapport à des agissements d'une très grande boîte bref
il ya énormément de choses à dire sur cette news sur la propriété intellectuelle du code sur
la possibilité des auteurs de faire ce qu'ils veulent de leur code même s'il est libre ou de la
réaction hallucinante de kitob qui a finalement fermé un compte alors justement qu'est ce que ça
vous évoque à tous les trois on va commencer par damir parce que je sais que t'as réagi sur
twitter un petit peu ouais moi c'est ça fait quand même partie des grosses acteurs à dire
qui ont se coulé ses débuts d'année on va dire ça comme ça juste pour la petite information c'est
une petite coïncidence mais à run schwarz en fait c'est suicidé le 11 janvier on enregistre le
d'ailleurs si vous connaissez pas je vous invite à vous renseigner sur la personne qui est très
intéressante qui a fait beaucoup de choses de très intéressante qui avait une vision assez
assez on va dire assez comment dire assez assez passionnante sur sur les sujets notamment de
numériques et autres donc pour le coup ça c'est un autre sujet mais pour en revenir au premier sujet
de cette file ben ouais là en fait de ce que j'ai de ce que j'ai compris notamment sur les
conséquences que ça a eu sur ces projets là c'est qu'il y a beaucoup de projets en fait ou
ce que je reviens pas l'origine avec cette file c'est que ça arrivait en fin d'année donc pique
pendant un peu des vacances ou de nombreux projets open source où les mainteneurs ben
partaient aussi en vacances et profitaient un peu des familles parce que on sait aussi qu'être
mainteneur d'un projet open source c'est un vrai taf pour les grosses bibliothèques et c'est souvent
un taf qui on va pas se cacher pas très bien rémunéré qui est très important ce qui fait que
en pleine vacances ils ont un peu dû faire des choses dans la panique ça a été un peu le
bordel il y a eu des pressions mis par des grosses entreprises et on est revenu effectivement
cette question de financement de l'open source ce que je trouve d'un côté super intéressant
parce qu'il y a une vraie question de savoir comme je dis c'est pas la première affaire qu'il y a mais
comment les grands compagnies utilisent de l'open source c'est surtout à quel niveau et derrière
ben la marche qu'elles font avec ou les choses qu'elles n'ont pas besoin de redevelopper grâce à
ça ben au final cette marche là il la garde pour eux en grande partie donc c'est une vraie question
qui se pose aujourd'hui mais je pense que la vraie question derrière est plutôt comment bien lisser
de financement et comment éviter que des modules en fait se retrouvent un peu on va dire perdu ou en
tout cas très utilisé mais pas très financé je dis ça pour une raison très simple c'est qu'aujourd'hui
on va pas se mentir même si on n'aime pas les gaffes à me je suis pas leur plus gros fan ça
reste quand même des gros contributeurs financiers au monde de l'open source en général si vous
regardez à l'inux foundation elle est en majorité banquée aujourd'hui par des compagnies comme
microsoft donc c'est un fait ils donnent de l'argent ils en donnent pas assez sûrement ça on est
totalement d'accord mais je pense que c'est un vrai problème de distribution aujourd'hui
l'identification des projets où il y a des besoins financiers et ça c'est un projet qui va pour moi
encore encore plus en avant de tout ça qui est de savoir ben comment comment on s'occupe de savoir
quel projet a besoin de quoi et mérite entre guillemets quoi comme comme retour sur investissement
qui a sûrement un modèle à trouver j'ironisais d'ailleurs comme tu disais sur twitter sur le
fait qu'on y aurait sûrement une solution je suis étonné que personne n'ait trouvé de
solution encore à base de nft sur les comites de projet open source mais il est très probable
qu'il y ait une solution qui existe je pense vraiment qu'on est le coeur du problème là dessus
c'est pas tant le financement réité ce qu'on pourrait donner des millions ça arrangerait pas
spécialement problème ça de les redistribuer comment les redistribuer correctement je sais pas si
d'addessus on est tous d'accord mais pour moi c'est un gros point qui reste problématique ce
qu'est un grand petit projet au final de mon côté je pense pas que ça soit vraiment qu'un
problème de financement c'est c'est aussi la manière dont c'est utilisé par les boîtes il y a
beaucoup de boîtes qui font de l'open source qui utilisent de l'open source mais qui ne font pas
de l'open source justement j'ai bossé dans des grosses boîtes qui utilisait beaucoup de produits
open source mais pour réussir à faire de l'open source sur son temps li sur son temps de travail
c'était très compliqué ovh pendant un moment forcément ils utilisait des délibérés open
source et pendant un moment c'était formellement interdit d'avoir un compte github dans le cadre
de son boulot et en dehors c'était plutôt déconseillé aussi et en parallèle de ça il y a
beaucoup de projets open source qui sont massivement utilisés tu parlais de certains mais celui qui
a commencé à mettre tout ça en lumière c'est open ssl où il y avait deux développeurs qui se
battaient en duel pour faire les principaux comites et un des comites qui avait généré un
des plus gros bug avait été committé le 31 décembre à minuit au hasard avec une petite coupette
de champagne donc c'est assez comique que un bug arrive à ce moment là donc c'est je pense que
c'est à partir de là on a commencé à mettre le doigt sur le problème et notamment pour open
ssl ils ont commencé à mettre en place du financement via des fondations et du coup bah
c'est on trouve à peu près le même problème sur des petits projets qui commencent dans un coin et
qui finalement commence à être massivement utilisé notamment color gs comment ça serait que
c'est utilisé aussi massivement et qu'il y a que de une ou deux personnes qui font la maintenance
de ce truc là au delà de ça ce qui moi me choque un petit peu c'est que ça est réussi à écrouler
des systèmes d'information ce qu'en plus ils introduisent ils introduisent un dédose
pardon puisque finalement au delà du drapeau américain ça tourner en boucle et quand ça tourner
en boucle bah c'est écrouler le serveur et je comprends pas parce qu'en plus c'est bloqué
l'exécution donc je comprends pas comment ça peut arriver en prod si on a des systèmes de
CIA un temps soit bien conçu parce que finalement si on fait un npm run normalement le color gs
doit bloquer donc je sais pas comment la CIA a réussi à passer ce test là et je sais pas
comment on arrive à mettre un truc comme ça en prod alors peut-être qu'ils font du continuous
deployment sans faire du continuous integration mais bon c'est je pense que ça soulève pas
mal de problèmes au delà de la contribution aussi et finalement on entend pas mal parler aussi c'est
à quel moment on utilise une librairie open source sans l'audité alors audité de l'open
source c'est très compliqué mais imaginez que ça soit une faille de sécurité qui était introduite
là c'était c'était un petit peu gentil il a affiché un drapeau et il a fait tourner un truc en
boucle mais s'il avait vraiment voulu être malveillant il aurait envoyé toutes les variables
d'environnement qui peuvent contenir des secrets quelque part moi ça me paraît un petit peu
inquiétant au delà du problème de l'open source et toi René t'en penses quoi ?
Il y a beaucoup de choses à dire sur le sujet donc clairement c'est un problème identifié depuis
pas mal de temps que effectivement les contributions à l'open source sont assez limitées pour
beaucoup de contributeurs c'est pas évident d'assumer la charge de travail sur certains projets
après il faut juste se rappeler que dans le principe de l'open source pour les développeurs
en fait il y a une fameuse clause qui est use à tuer un risque donc en gros il nous doit
vr1 enfin il doit vr1 aux utilisateurs donc je sais qu'il y a une problématique aussi derrière de
pression des utilisateurs qui ont demandé aux développeurs que les failles soient
corrigées etc mais dans l'absolu les développeurs sont pas obligés de répondre donc ils font
souvent de l'or mieux et on peut que les féliciter pour ça mais voilà il n'y a aucun
contrat au quo que ce soit qui est vis à vis des utilisateurs et voilà donc faut pas
oublier ça et je pense que certains développeurs sont en droit de se mettre un peu effectivement en
grève et de pas forcément répondre à toutes les sollicitations voilà ça c'est peut-être un
premier point après oui et un manque de financement peut-être qu'une des idées qui serait derrière
c'est que au niveau des développeurs moi je pense qu'il y a parfois des choses qui
seraient assez salutaires c'est par exemple de visibiliser en fait pour chaque feature chaque bug
ben le temps que ça prend et peut-être mettre tête en face à un prix je sais pas que je sais
que ça s'est déjà fait sur certains projets j'allais changer un peu sur twitter sur ce sujet
là on m'a dit que c'est déjà arrivé sur certains projets de manière à rappeler qu'en fait c'est
pas voilà c'est pas réellement gratuit quoi il y a toujours quelqu'un qui fournit un effort et je
pense que ce serait pas mal que les de visualiser un petit peu la charge de travail derrière
certaines features pour voilà pour que les gens se rendent compte que c'est un vrai travail
derrière et beaucoup de boulot et que forcément c'est des contributions sont les bienvenus
alors je me permets oui je me permets de remont dire juste sur ce que tu disais mais ce qu'on dit
il y a deux choses moi quand j'ai des financements en fait je parle des contributions en général
qu'on contribue financièrement ou avec des devs parce qu'il y a aussi beaucoup de contributions
qui sont faites par par des gros gaffes notamment trucs comme ces groupes extra qui ont été en
grande partie externalisées à la base c'était chez google donc il y a vraiment un problème là
dessus effectivement moi ce que je comprends pas et comme Nicolas dit c'est qu'il y a un vrai
problème aussi qui est mis en évidence de comment s'arriver en prod et la deuxième chose c'est
comment s'en arriver à mettre de la pression normalement tu as quelque chose qui ne fonctionne pas
déjà ça ne serait pas du intérêt en prod effectivement la ciay aurait dû dire il y a un
problème arrête et au-delà de ça on aurait dû se dire bah on fixe les versions et on dit que
ça on prend telle version on frise la version tant qu'elle n'est pas corrigée donc qu'il y ait
des boîtes qui soient littéralement totalement bloquées à cause de ça ça montre aussi un
problème d'organisation et de compréhension après il y a un autre problématique dans que
nous souviens Nicolas qui est de notamment pouvoir auditer des bibliothèques je pense qu'aujourd'hui
c'est humainement plus possible on a tellement de dépendance et d'interdépendance si vous
regardez les chaînes de dépendance sur des choses comme piton comme n non moins comme js notre
js etc les chaînes de dépendance sont abominables ça prendrait des jours pour analyser chacune des
briques sachant qu'en plus de tout ça bah elles évoluent entre temps donc c'est ouais c'est un peu
le vider un vider un puits en fond quoi donc je suis même pas sûr qu'on puisse considérer du coup
cette option et on l'avait bien vu avec open assl comme tu dis que c'était un très bon exemple
qui était le premier vrai exemple de faille qui a mis en lumière des problèmes sur l'open source
qui a époque mais je me semble à y résulter notamment par un audit de l'équipe de bsd de
scots source qui était maintenu avec deux une chance des chercheurs d'ailleurs en cryptographie
qui faisait open assl et qui était assez déconnecté des bonnes pratiques de développement sur
certains points on s'est rendu compte qu'il y avait plein de problèmes en fait parce que
il n'y avait personne d'autre pour vraiment contribuer dessus pour vraiment pousser le truc
c'est un sujet ultra précis et en fait quand des gens ont commencé à s'y intéresser à auditer le
truc ce qui arrive souvent quand on découvre une faille en fait on en découvre en chaîne c'est ce qui
est arrivé là parce que ben on commence à analyser ce qui a été fait donc pour le coup dans les
cas là effectivement il y a aussi un problème on va dire de d'arriver à attirer des gens sur
les projets quoi ça c'est problème que vous remontiez aussi quoi ouais alors je vais je vais
prendre le rebond vous parlez de faille mais pour moi c'est pas une faille et c'est ni un code
malicieux c'est vraiment pour moi c'est la grève du programme informatique et c'est à mon avis un
nouveau moyen d'action qui va arriver parce que finalement nous quand on est développeur ou
administrateur système on peut faire grève peut arrêter de travailler mais par contre le code
qu'on a produit lui continue et là pour le coup il s'agit de librairie libre dont le propriétaire
du code donc maraq a décidé en fait d'arrêter que ces que ces librairies fonctionnent alors en
effet il y avait il y avait des boucles infinies etc dedans donc là par contre c'est aux utilisateurs
de ces librairies là de faire attention on est faire en fixant en épinglant nomitativement les
versions je pense qu'en fait et je sais pas si vous connaissez bien nod mais quand on gère les
paquets de notre peu comme pour les paquets piton d'ailleurs on peut dire à partir de cette version
là ou cette version là exactement et je pense que beaucoup font à partir de cette direction là mais
ne fixe pas explicitement la version ça c'est un truc que je commence à faire énormément parce
que j'ai remarqué qu'il y avait beaucoup de problèmes justement quand on buildait des applications
avec des versions minima mais pas des versions fixées j'ai rebondi et vitrer là dessus t'as pas
mal de systèmes de gestion de version ces poétries en piton et bundler en rubis ou en fait tu définis
un ensemble de règles pour dire je veux telle librairie dans telle version telle librairie entre
tels et telle version etc et tu fais un je mets à jour mes dépendances il va récupérer toutes les
versions les plus à jour tu lances tes tests si tout va bien il va te générer un fichier de loc et
ce qui fait que ton toutes tes librairies vont toujours être exactement dans ces versions là que
ça soit en développement production etc et je pense que ça c'est une bonne pratique et c'est
peut-être ce qui manque à l'environnement npm en l'occurrence parce que finalement là le problème
qu'il y a eu peut-être que les gens qui utilisait color js n'avaient pas conscience que c'était
utilisé donc ils pouvaient pas fixer cette version là dans notre juste je réagis dans notre ta bien
une notion de fixe c'est à dire un un package point loc en fait ce qui peut se passer c'est que les
librairies des pens qui les librairies qui utilisent color js parce que la color js on est au
bas niveau on est au niveau de la console il est probable que ces librairies là et mis à jour color
js etc et on et on chaîne il est possible que ce soit ça l'origine du problème moi je sais pas mais
je vois un truc comme ça moi je vois que ça en fait bah sinon c'est qu'il y a un problème même
vu que c'est un truc bas niveau je pense vraiment que c'est juste une immigration comme
c'est tout est un briquet c'est des poupées ruses donc il y a un moment ça ça doit être un briquet
quelque part et bulle d'automatique oui après moi ce qui m'intéresse aussi c'est la notion
justement de quand on est développeur comment est-ce qu'on peut faire valoir son point de vue
parce que finalement faire grève déjà alors en France parmi les tech c'est très très mal vu
et peut-être que c'est quelque chose qu'on doit qu'on doit reprendre comment est-ce qu'on peut
interagir sur le monde ça c'est des sujets qui m'intéressent on va pas les traiter là mais mais
en tout cas ça va faire réfléchir ce genre d'action moi je trouve ça intéressant même
si les impacts sont importants mais comme je le dis et les impacts sont côté utilisateurs et là
on vient de donner des pistes pour que les utilisateurs se fassent pas avoir et sur le
financement du libre justement je vais pas embrayer dessus parce que j'ai envie moi de faire une
émission libre antenne dessus sur le financement du libre et de l'open source au troisième trimestre
donc là je vais faire un appel à nos auditeurs et auditrices si vous faites partie d'une boîte
qui vit du logiciel libre et que vous voulez en discuter et ben contactez moi sur twitter
au link d'in parce que du coup je représente co-animateur et co-animatrice évidemment
comme ce sera une libre antenne toutes les personnes qui passeront dans le live pour
en parler et discuter et là j'aimerais qu'on aborde vraiment l'épice de financement que ce
soit au niveau des fondations que ce soit au niveau on peut imaginer de la redistribution au niveau
des états il y a des des initiatives comme un pen collective je sais pas si vous connaissez
qui font de la redistribution aussi il y a plein de pistes mais par contre on parle beaucoup de dons
et moi je pense qu'il y a probablement autre chose que les dons pour faire vivre l'open source
et comme on l'a dit je pense que le plus gros manque reste en termes de petite main de personnes
qui participent et contribuent à ces logiciels là est ce que vous voyez une autre chose à dire
sur le sujet après après on peut peut-être juste dire que en tout cas ça fait beaucoup bouger les
choses après on peut discuter si c'était la meilleure manière de faire bouger les choses c'est vrai
que là il y a beaucoup d'acteurs qui ont été touchés et peut-être qu'il y avait moyen de faire
ça de manière un peu plus soft au moins dans un premier temps je sais pas qu'il y a les vôtres
forcément à sa place ou pas forcément fait ça ? Bah Marac avait dit il y a déjà plus d'un an
qu'il voulait plus travailler sur ce genre de choses comme ça ça a été repris sur y combinateur donc
d'abord il y a eu une discussion et après il y a eu l'action un an plus tard donc après bon je
sais pas comment faire moi je trouve que c'est une piste intéressante je sais pas si tous les
projets doivent faire ça après pour faire bouger les choses je sais pas quelles ont les possibilités
des projets open source en fait ? Après c'est un peu plus compliqué qu'avec une entreprise
une entreprise tu fais grève t'as un patron qui dans ses capillais voit globalement que la production
ralentie ou est coupée donc il perd de l'argent là sur l'open source c'est beaucoup plus dur
quantifié c'est beaucoup plus dur à gérer je pense que le questionnement là dessus est bien plus
tricky que ce qu'on voudrait croire et il y a sûrement des moyens d'être efficace ou de faire
monter des besoins ou des choses comme ça mais c'est sûr que c'est plus compliqué que ça je suis
après je suis assez d'accord que je trouve que l'action est un peu un peu on va dire très direct
quoi on va dire ça comme ça ? Moi je pense qu'il pouvait juste simplement s'arrêter de contribuer
je sais pas ça revient même pas probablement mais et mettre une bannière en disant bah je
contribue plus parce que c'est plus possible voilà faut que je dégage du temps et pour dégager du
temps il faut que j'ai du financement tu vas expliquer ça me paraît un peu un peu brutal et
c'est encore une fois c'est ce qu'il avait fait il y a un an en fait après je moi j'en reviens
sur la propriété intellectuelle du code même si le code est libre qu'on peut l'utiliser on peut le
forquer etc. Marac reste propriétaire du code qu'il a produit donc s'il a envie de l'enlever il
l'enlève c'est ce qu'il a fait pour l'un de ces deux projets pour l'autre il a fait autre chose
ça c'est des sujets qui à mon avis sont pas encore très bien pensés et le fait qu'on puisse se
dire aussi un projet libre il peut disparaître du jour en main on parle pas de projet abondré on
parle de projet qui disparaissent de dépôt complètement alors ça je me semble à un lieu
quelque chose mais je retrouve le lien il semble qu'il y a justement des sécurité là dessus pour
regarder notamment une copie si jamais la personne remove un tag ou remove carrément son projet
pour éviter que ça pète tous les dépendances en chaîne de mémoire il ya des il ya des sécurité
là dessus sur les la plupart des gestionnaires de package en fait il faut vérifier il faut
retrouver le lien parce qu'il me semble à relu ça quelque part avec quelques années
parce que le npm est géré par github maintenant non
parmi npm ou à partir microsoft justement vous vous n'êtes pas exprimé sur la suspension
du compte par github j'aurais cru que ça vous aurait aussi interpellé je pensais qu'on allait
l'aborder en fait pour moi il y a le problème c'est que alors je suis pas très microsoft
voilà je sais pas forcément voilà non c'est ce que j'apprécie plus mais là en l'occurrence
je pense qu'il était difficile pour eux enfin je sais pas s'il y a un bon il y avait une bonne
action à faire parce que soit il bloquait en disant c'est peut-être quelque chose de malveillant
et les gens leur reproche qu'ils est bloqué soit il bloquait pas et laissait passer le truc et on
allait dire bah ils font pas leur bouleau je crois que quoi qu'il l'un pour le coup qu'ils aient
choisi une action une autre ils auraient été critiqués par des personnes donc je sais pas dire ce
qui est le mieux moi je pense qu'ils ont enfin en l'occurrence qu'ils ont fait c'était peut-être
la bonne chose à faire parce que je pense qu'ils étaient pas sûr à ce moment là que ce ne soit
pas une attaque ou quelque chose de malveillant ils ont cherché à protéger les utilisateurs et
c'est ce qui me semble être le le plus logique après on peut discuter du conner à l'air très d'accord
est ce que tu dis oui alors déjà je voudrais rebondir sur un truc c'est je pense que ce qu'il a
fait il l'a fait comme un acte militant mais je pense qu'il avait pas imaginé que ça aurait ses
conséquences là parce que comme c'était un truc pour faire juste de la console il a dû s'imaginer
ouais bah ça va casser de la CIA et puis ça va pas se retrouver en prod donc je pense qu'il faut
pas l'imaginer comme une personne malveillante je pense que il s'attendait pas à ce que ça
parte en prod et à ce que ça bloque autant de systèmes après de là à bloquer son compte
github je trouve que ça a été démesuré je sais pas si ça vient du fait que ça soit
microsoft ou juste github je pense que ce qu'ils auraient simplement dû faire c'était j'imagine
qu'il doit y avoir des administrateurs npm qui supprime la version qui posait problème et qui
l'empêche de republier une autre librairie mais laisser son accès à github et son code source
de spain alors par contre je suis dans l'idée je suis d'accord avec toi mais c'est une vision je
pense qui est très utopiste en fait du monde où les personnes qui sont qui vont les personnes
slag robots qui vont s'occuper de vérifier si c'est malveillant ou pas ont l'intelligence d'avoir un
suivi derrière de voir comment ça a été fait le contexte et tout il faut voir que dans beaucoup de
boîtes ricanes et on l'a vu une temps plein d'affaires sur twitch la stratégie est d'être très
restrictif et après on débloque si on voit qu'il y a besoin mais de base de très restrictif pour
éviter tout problème parce que sur le coup en fait que soit un bot ou un humain s'il n'a pas le
contexte il voit du code comme ça qui a été injecté ça peut très bien être lui qui manifeste
effectivement moi entre guillemets qui manifeste un des accords mais ça aurait très bien pu être
quelqu'un qui a pris son compte et qui a en mode bah je fout de la merde ou quelque chose donc ça
n'a intention en fait la personne je doute que la personne sonne ou que le robot a jugé ça mais
après voilà moi je pense que encore une fois c'est comme toutes les actions un peu automatiques et
rapide à la con c'est souvent brutal c'est clairement c'est clairement pas ce qu'on ferait avec le
recul mais là je pense que dans leur cas j'ai du mal vraiment à critiquer cette action parce que
déjà microsoft et github ont fait bien pire que ça mais surtout parce que ça se pour moi ça se
défend honnêtement surtout qu'ils l'ont débloqué un de mémoire dès qu'il a dit que c'était pas
un hack et qu'il a encore son compte il me semble qu'il l'ont débloqué donc moi ça paraît cohérent
avec la stratégie 13 us de se dire quand il y a un problème on ban on bloque et on verra après
en fait c'est ce que je voulais dire c'est pas forcément un acte malveillant y compris le fait
d'avoir bloqué son compte oui d'accord oui je pense en effet si j'ai pensé au fait que github
est bloqué ce compte là en soupçonnant qu'il y avait un truc après les comites sont à part
il y a le comème à mara qu'a priori github a supprimé l'accès à guide avec mot de passe et
maintenant peut passer que par des clés ssh donc moi du coup j'encourage les gens à signer leur
comites maintenant pour bien prouver que c'est vous et pour éviter de vous faire piquer bon il
faudrait vous faire piquer votre clé privé ssh avec votre passe phrase parce que vous mettez
évidemment une passe phrase pour clés ssh quand vous comitez mais en plus signez vos comites comme
ça vous pourrez dire et non c'est moi j'ai bien fait ça en connaissance de cause
ben je pense qu'on a fait le tour du sujet et justement vu qu'on parlait de financement
ben René va nous parler de financement d'un projet c'est un peu le contre pied et une bonne
une bonne nouvelle en fait en fait c'est une nouvelle qui est tombée donc ce sera dans les
notes sur gnu pg donc en fait qui est un outil de chiffrement très standard sur linux c'est sur
d'autres plateformes et en fait gnu pg il y a quelques années il a souffert justement un peu
du problème là du manque de contribution et de financement et bon c'est quand même un outil
majeur utilisé par beaucoup de personnes et c'était très compliqué et donc cette nouvelle qui est
sur le site une fin relier par le site linux fr on a apprend que que gnu pg est devenu
économiquement viable et n'a plus besoin de dons donc là c'est plutôt une bonne c'est donc c'est une
bonne nouvelle et ils ont donc arrêté le la campagne de dons ils sont même prêts à rembourser
certains contributeurs qui ont donné récemment et donc il ya une société en fait qui qui s'est
monté et qui a été créée en part on va dire un des fondateurs un des fondateurs du projet et donc
qui a trouvé un business model pour faire fonctionner en fait gnu pg et c'est aussi lié aussi un peu
au contexte on va dire économique et des besoins de chiffrement en allemagne en fait donc gnu pg
a été validé pour un certain niveau de confidentialité au niveau du gouvernement allemand pour
échanger des documents je rentre pas trop dans le détail mais c'est bien beaucoup sera beaucoup
mieux expliqué dans la note que je vous encourage à aller voir et et et donc en fait qu'il se passe
c'est que comme cet outil est utilisé pour les échanges il ya un autre outil en parallèle qui
en fait est devenu obsolète donc c'est un outil qui est fourni par l'équivalent de l'ancier
mais allemande qui s'appelle siasmus qui en fait a été déprécié et donc ça ouvre entre guillemets
la porte à gnu pg et une autre solution propriétaire mais donc une perspective d'avoir de nouveaux
clients et donc voilà un financement bienvenu pour bien pour faire progresser cette application et la
maintenir dans le temps et donc voilà c'est une bonne nouvelle et voilà un moyen alors c'est aussi
ce qui est intéressant aussi c'est qu'il ya une espèce de synergie entre guillemets entre le public
le gouvernement et les auteurs de gnu pg et voilà je trouvais que cette nouvelle était intéressante
et et que ben parfois il ya des logiciels qui arrivent à trouver un bon business model et j'espère
que ce sera pour vrai sur le long terme alors et je vous laisse la main juste j'ai pas bien saisie
quel était le business model derrière est ce que tu peux nous en dire deux mots ou alors j'étais
distrait quand tu l'as dit non alors dans le business model non je n'ai pas forcément expliqué
c'est un business model donc le logiciel en tant que tel donc avec doups et g on va dire classique
ils en font un espèce de de fork mais sans modification du logiciel en tant que tel et le
business model c'est un business model classique sur le monde du logiciel libre c'est du support de la
compte et voilà du développement de features pour les administrations voilà c'est un modèle de
de financement classique par contre vraiment voilà il ya une opportunité du fait de l'arrêt de la
solution on va dire qui était proposé précédemment par le gouvernement enfin par l'un de si allemande
on va dire et du coup il y a une de nouveaux clients qui vont certainement choisir cette solution
et du coup ça fait un apport de de clients importants et donc le voilà des recettes qui rentrent et
suffisant en tant qu'il met pour pour assurer la viabilité du projet c'est d'ailleurs un excellent
moyen de financer l'open source c'est comme nos impôts c'est pour construire des choses de
bien commun pourquoi donner de cet argent à des microsoft et compagnie et ne pas l'investir
dans du logiciel libre et et ou de l'intégration de ces logiciels libres dans les écosystèmes
dont on a besoin par exemple tous les réactoires plutôt que de payer des solutions comme teams
c'est le big blue button je crois qui commence à bien marcher et je crois que c'est une solution
open source donc c'est bien l'utilisation de l'open source contribuons à l'open source et
contribuer à l'open source c'est pas forcément que faire du code c'est aussi faire de la
documentation faire des intégrations autres pour les installer plus facilement et ainsi de suite
et toi d'amir tu vois ça comment ? c'est une bonne nouvelle moi j'aurais du mal à dire que l'inverse
quoi surtout pour quelque chose comme comme ce projet qui est quand même très important moi j'utilise
au quotidien donc c'est vrai que c'est bien qu'il soit maintenu c'est même mieux et oui l'open
source a je pense le moyen d'être financé à le moyen on va dire de réussir à être quelque
chose de viable mais pour ça il y a un gros travail je pense de vulgarisation d'évangélisation
même si je déteste ce mot à faire auprès de certains organismes notamment public qui
sont pas toujours très au courant et qui pour beaucoup il y a quand même ce modèle inconscient
dans la tête du grand IBM ou Microsoft tout achète ta licence derrière des gens qui travaillent
et tu es sûr et une entreprise qui est derrière et pour moi le plus grand frein là dessus c'est
vraiment de comprendre que l'open source c'est pas parce que c'est fait de manière on va dire
décentraliser et et en contribution que c'est pas sérieux mais là c'est bien que des produits
comme ça arrivent à passer cette barrière et je pense que ce sera de plus en plus le cas parce
qu'aujourd'hui et c'est une réalité l'open source est utilisé par tout le monde et comme
on disait au début même les plouraux je pense que je pense que c'est le mot que tu cherches c'est
voilà pas être que de simples justement pas forcément être que des simples utilisateurs
et comprendre qu'à un moment c'est salutaire de d'assoir c'est de s'appuyer sur des choses
solides et pour s'appuyer sur des choses solides ben il faut aussi de temps en temps contribuer pour
alors les différentes façons au fonction de ces moyens mais voilà je pense que c'est important
de vraiment comprendre ça parce que si demain voilà le projet est disparaît ben c'est finalement
tout le monde qui est qui est embêté en fait ouais et du coup moi je trouve c'est intéressant les
business model qui se tourne autour de l'open source et du libre mais finalement on tourne un peu
toujours sur les mêmes choses que ça c'est soit du support et du service soit de l'hébergement
comme nous on fait et du coup en fait il faut de toute façon il faut un besoin business en face je
pense et c'est ça le truc c'est que le je suis libre en tant que tel il y a à parler d'on il y a
rien pour le financer mais quand il est à coller à un besoin business là on peut développer du
service de l'hébergement du support etc je pense que je sais pas s'il y a d'autres pistes en tout cas
je serais que eu de les connaître moi je pense qu'il y a des pistes à travailler en termes de
de lever de la peau et de créer des communs notamment vis-à-vis des états mais ça c'est ce genre de
chose je pense que j'en parlerai dans dans la libre entelle parce que je voudrais un peu travailler
ça mais je pense qu'il y a des pistes là dessus qu'on n'a pas encore vraiment creusé j'imagine
et évidemment c'est une bonne nouvelle c'est sûr et ben je vous propose qu'on passe à la suite
sauf si vous voulez encore continuer sur menu pg a priori on va passer à la suite alors avant de
passer à la suite ce qu'il faut que tu saches sauditeur c'est que tous les tous les tous les
tous les animateurs de radio des vops et que tu dévops font partie de la communauté des compagnons
et donc tu peux venir nous rejoindre dans la communauté des compagnons des vops et venir
discuter avec nous de ces sujets là les approfondir et puis parler tout à tas d'autres sujets puisqu'on
accueille des nouveaux tout le temps toutes les semaines maintenant il y a des gens qui nous
rejoignent qui discutent de plein de sujets liés au cloud et au dévops et au monde du libre
parce que le monde du libre sa fond internet mine d'or et damir nous a réservé une petite
une petite nous qui va me faire plaisir je pense mais effectivement on va parler d'un sujet que tu
adore et je sais que que tu aimes à m'en parler pendant des heures on va parler du fameux
huls data hub de microsoft qui a été signé avec microsoft donc quand je fais un peu de remise
en contexte sur tout ça ce que vous n'êtes pas suivi l'histoire donc il y a quelques temps
il y a quelques années même il me semble il y a eu la mise en place d'un projet du
coup sur la structure publique notamment au niveau du coût du ministère de la santé de
centraliser toutes les données donc ce qui est une action assez assez classique on va dire en termes
d'industrie informatique ces dernières années on va pouvoir essayer de rassembler toutes ces
données dans un centre de données à part pour faire du traitement dessus pour essayer d'en tirer
de l'intérêt de l'intelligence possiblement du coup des données des tendances des choses comme ça
donc faire de la statistique etc donc pour ça il faut d'abord regrouper toutes les données qui sont
souvent un peu éparpillées à gauche à droite donc le gouvernement a annoncé un projet ambitieux
qui était de faire ça en tout cas au niveau de la partie santé donc du coup ils ont lancé
ce projet il y a quelques temps et assez rapidement ça s'est terminé avec la décision de partir sur
le cloud Azure de Microsoft donc la solution data de chez nos amis de chez Microsoft si
j'ose dire et pour le coup ça a déjà fait pas mal parler parce que il y avait l'histoire bien
sûr de la confinance et de la souveraineté qui avait été mis en avant je vais pas m'étendre
non plus trop là dessus mais il y a eu des points qui ont été soulevés il y a eu beaucoup de
discussions mais le choix avait été fait mais Azure ayant toutes les certifications notamment
hsds il me semble pour être la certification des bergeants données de santé ça posait pas de
problème on va dire légal à la conclusion du contrat il restait globalement plus grand chose à
avoir mais il restait quand même d'avoir notamment un agrément de la CNIL et cet agrément cette
demande d'agrémentation a été mis en pause pour l'instant qu'elle a été retirée de la part du
coup du ministère ce qui fait que pour l'instant le projet est tout simplement mis en pause alors
est ce que ça veut dire que c'est la fin de ce projet je ne pense pas et ça n'a pas l'air d'être
le cas c'est plus faut plus voir ça comme une pause qui a un changement stratégie et on va pas
se mentir dans quelques mois il y a aussi un événement assez important niveau de la politique
française qu'on appelle les élections donc clairement vu le contexte vu que ça a déjà soufflé
pas mal de de de re de d'opposition le projet est mis en pause pour l'instant et il y a aussi
autre chose qui arriverait entre temps en fait depuis ces décisions là c'est qu'il y a eu la
stratégie cloud du gouvernement qui a été dévoilée stratégie qui est mise notamment sur
des solutions hybrides le temps de monter des géants du cloud et pour le coup on pourrait aussi
voir ça comme une manière de temporiser possiblement attendre l'arrivée de services comme blu ou des
choses comme ça qui serait du coup du cloud de type azur ou a ws ou gcp mais hébergé chez des
acteurs français donc je pense qu'il y a sûrement une double idée qui est de patienter avant que
ces offres soient disponibles pour dire on est hébergé sur des serveurs français et il y a
aussi des serveurs hébergés en france par des entreprises françaises on construit pas de serveurs
et du coup il y a une deuxième chose qui est bien sûr les élections on veut éviter de créer trop
de polemique on va dire en tout cas c'est news assez intéressante mais il faut vraiment en tête
que le projet n'est pas stoppé il est juste mis en pause pour le coup donc du coup qu'est ce que
vous en pensez de cette décision toi christophe qui adore ce sujet qu'est ce que tu penses
et ben c'est c'est bien parce que ça nous permet de nous poser nous poser des questions sur où
est ce qu'on héberge nos données de santé de manière si on pousse un petit peu nos données
régaliennes la santé la défense etc encore que la défense est pas touchée par ce genre de choses
parce que j'ai appris qu'il y avait vraiment une séparation et pour le coup c'est vraiment hébergé
par l'état moi ce qui avant l'émission et genre deux heures avant l'émission je suis tombé sur
un article de la revue du digital dont je voulais en parler justement parce que ça c'est un news
me fait vraiment penser à ça c'est le data lake donc le data lake sur nucléaire c'est un projet
français c'est comment est-ce qu'on va collecter les données qui sont en théorie qui sont pas utilisées
on va collecter des données comme des vidéos la télé métrie des données brutes ou des données qui
sont racinées manuellement dans toutes les centrales nucléaires et on va les envoyer dans ce data lake
il s'avère que pour ce data lake a été choisi le cloud Azure et du coup ça me ça me fait écho
ce genre de choses parce que on parle de santé là on parle de nucléaire qui sont quand même deux
fournisseurs données assez sensibles et moi je me pose quand même réellement des questions
là dessus et donc j'espère que le data lake four nucléaire va suivre la même piste même si
a priori c'est pas encore gagné puisque ça vient juste d'être annoncé
je vous ai séché ou je vous ai je vous ai mis le somme c'est pas possible
allez nicolas non mais c'est effectivement c'est ça avait fait pas mal de bruit de manière
globale pour tout ce qui est donné de privé européenne que ça soit mis sur des plateformes
américaines moi ça me irise toujours les poils après la problématique c'est aussi la stabilité des
alternatives européennes du coup l'argument tient plus si on met ça chez microsoft
c'est visiblement la stabilité c'est pas vraiment leur fort mais par contre quand pour avoir
essayé au vh et à ws il y en a un qui est pas cher mais qu'il se casse souvent la gueule et il y en
a un qui est plus cher mais dont la fiabilité est pas vraiment à remettre en pause je reste quand même
un partisan d vh mais quand tu te retrouves avec ton serveur qui est par terre et qui refuse de
démarrer et tu te retrouves avec un pricing un petit peu bizarre ça ça me fait toujours un petit peu
grincer des dents après il ya il y a un autre truc à prendre en compte c'est quand tu mets des données
comme ça sur des cloud américains de plus en plus de boîtes qui ont des données sensibles à héberger
vont chiffrer les données donc finalement les données qui sont stockées sont chiffrés et sont
inutilisables si on n'a pas la clé de déchiffrement et pour ceux qui sont vraiment intelligents et
ça arrange pour que les clés de chiffrement déchiffrement ne soient pas au même endroit donc
soit un déchiffrable par ces cloud américains mais c'est octave qui a clavé qui avait réagi par
rapport à ce lc d'aptub et disait bah oui on est moins performant bah oui on est moins bien oui
on a moins de fonctionnalité on n'a peut-être pas autant d'intelligence artificielle et ainsi
de suite mais d'un autre côté si vous mettez toujours ça chez nos concurrents vous continuez
à les alimenter et nous bah on peut pas faire évoluer nos produits venez chez nous héberger
vos données chez nous venez discuter avec nous de ce dont vous avez besoin une fois que vous
aurez mis tout votre date d'hôpe chez nous bah on aura peut-être les moyens de développer
toutes les choses dont vous avez besoin donc en fait c'est c'est toute la problématique du cloud
européen c'est que on est en retard mais si on est en retard c'est parce que on met tout aux us et
tant qu'on va tout mettre aux us bah on va creuser encore un peu plus le fossé et du coup on
n'arrivera jamais à les rattraper donc si vous avez des données hébergées essayez de regarder
plutôt des alternatives au moins européenne je pense que en france on n'a vraiment pas à
rougir par rapport aux autres pays donc ovh ce qu'elle ou est sont des alternatives vraiment
intéressantes regardez si ça tombe ça ça peut largement suffire pour ce que vous voulez faire
et ils ont la capacité de grossir si vous savez correctement monter une infra vous avez vraiment
pas besoin d'aws et comme c'est moins cher bah vous prenez deux fois plus de machines pour avoir
deux fois plus de dispo après c'est moins cher mais t'as plus de trucs à redevelopper derrière
mais je suis d'accord qu'il ya un vrai problème c'est qu'il faut qu'on investisse sur ma preuve
je dérivais un peu la souveraineté du cloud mais on a un vrai souci c'est que on fait on a quand
même un gros retard il faut l'avouer et je parle pas que niveau technique je parle aussi niveau
commerce parle aussi niveau certification je parle aussi à plein de niveaux on a vraiment
du retard et pour le coup je travaille sur du cloud français je vois que pour avoir une certif
typis au 27 min 1 vous éliminez 99% des cloud français parce qu'ils vous fournissent pas
les métriques de base ou les log de dit de base donc déjà là dessus vous bloquez beaucoup de boîte
mais l'idée derrière et c'est vrai que c'est un problème c'est qu'il va falloir qu'on investisse
en main sur nos solutions on va dire souveraine mais il faut aussi qu'on soit conscient qu'on a
du retard et que bah ça va nous coûter beaucoup plus cher au départ parce que là typiquement
quand vous avez chez du microsoft quand j'ai du amazon même du google avec du big query des
choses big query des choses comme ça bah vous avez des solutions sur l'étagère en fait vous
lancez votre data lake vous donnez des paramètres il va créer votre data lake il va s'occuper de
le scale de le renomder etc faut bien en conscience que ouais nous quand on va devoir le faire si
vous le faire sur au vh ou autre c'est faisable mais ça va vous demander beaucoup plus de temps on
peut ce qu'on gagne en fait avec le coup des serveurs on va le perdre en partie en tout cas à ce
niveau là et à ce qui est tout à fait normal en fait ce qu'il y a de la valeur dans le cloud c'est
logice elle même si on dit c'est que la machine de quelqu'un d'autre au final quand on dit c'est
que la machine de quelqu'un d'autre c'est c'est vrai c'est faux parce qu'on nommait toute cette
partie software qui est le coeur aujourd'hui du cloud et pour le coup ça se presse des questions
de souveraineté encore une fois il y a vraiment cette idée où un moins on va devoir investir en
interne et encore une fois le choix du gouvernement avec histoire de blout ça même si je ne suis pas
d'accord avec il y a peut-être aussi un monde où c'est juste une phase de transition et c'est pour
temporiser le temps qu'on arrive à monter des choses à développer de choses que c'est pas instantané
mais après je connais pas leur intention derrière mais dans un monde idéal c'est peut-être ça c'est
peut-être le cas je défends personne ce que je peux pas les blérer mais que ce soit bien clair mais
là dessus j'essaie de garder espoir en tout cas et du coup pour le coup c'est plutôt que de mettre
ton argent dans une solution tout intégrée est ce que ça serait pas plus intéressant de payer des
gens à intégrer des solutions parce que finalement leur data like leur big query machin
etc il y a peut-être des solutions qui existent déjà probablement n'open source en plus qui
pourrait être installé en France ou en Europe la vraie notion là ça notion de risque c'est
qu'aujourd'hui c'est très dur et ça ça pour le coup je l'ai vu chez beaucoup de clients où on
se dit ben on préfère prendre du cloud parce que en fait si demain on doit monter une équipe pour
faire tout à zéro on est pas sûrs des trouver et si on les trouve on est même pas sûr de mener
le projet à bouillene à au bouillene qui vont partir etc donc il y a un gros problème là
suite j'ai créé un article en ce sens la souveraineté chez de remettre au propre ces idées mais on a
un gros problème qu'on peut pas réinventer la voie à chaque fois il claude est là pour là et là
pour ça là je pense vraiment que ce qu'on a besoin et là on part sur des considérations plus
politiques c'est un plan d'investissement on va dire à long terme sur sur nos acteurs parce que
quand t'es une entreprise lambda tu peux pas te permettre de prendre un sigo risque alors que
t'as des solutions beaucoup moins risqué 99% du temps les employeurs ils vont pas prendre ce risque
oui mais alors je vais m'interagir sur un truc c'est que là on parle des services manager or ils
savent que déjà les services manager ne représentent pas l'intégralité du cloud et que
a priori grosso modo 80% des besoins c'est de la vm c'est d'âme machine et pas que du service
manager c'est à dire qu'en gros on a 80% des besoins qui sont pas qui sont pas spécifiquement
dont on n'a pas besoin spécifiquement d'aller sur ce genre de cloud moi il y a un truc en effet que
que je trouve que je ne fais pas assez en europe c'est la commande publique et le développement
du logiciel libre parce que mine de rien je fais un parallèle avec comment elle s'appelle la boîte
de l'on masque qui envoie des gens dans l'espace spécif spécif c'est gavé de de
fonds de fonds public américain et donc c'est devenu un fleuron en l'espace du moins de 10 ans les géants
du cloud ils ont grosso modo à 15 20 ans grand max donc c'est pas à retard si si important que
ça à l'échelle humaine je veux dire 15 ans c'est pas non plus énorme mais par contre en effet on
a des besoins de financement et ces boîtes là ont des besoins de chiffre d'affaires et si on
investit pas dans nos boîtes avec du financement public comment est-ce qu'elles vont arriver à
capter du chiffre d'affaires parce que justement comme on dit elles sont pas à niveau donc là en
fait c'est le serpent qui se marre la queue et pourtant en france dieu sait qu'on sait faire
parce qu'on a quand même financé des centres ad nucléaires le tgv et tout un tas de choses et de
grands projets comme ça pourrait très bien financer notre on dirait notre notre innovation dans
cloud et avoir une un vrai truc différentiel surtout qu'un on a des des initiatives comme
beta gov qui sont vraiment super et qui font un travail génial et moi je trouve que ce genre
d'initiative devrait être encore développé et je et accessoirement je pense qu'il y a une troisième
voie entre le data center public parce que moi j'ai travaillé dans pour la casse première d'assurance
maladie dans les data centers public mais géré par des sociétés privées mais de services publics
c'est à dire qu'il y avait un seul client c'était la casse première d'assurance maladie et les
sociétés privées type ovh etc on peut avoir et ça j'ai réfléchi depuis longtemps des coopératives
de citoyens ou des sociétés coopératives d'intérêt collectif des skis qui sont justement
des hébergeurs qu'on pourrait monter de zéro injecter des financements et que ces personnes
travaillent avec des acteurs privés pour pour gérer prendre de la connaissance sur la gestion
du cloud enfin il ya plein de trucs à imaginer c'est il y a vraiment plein de sujets on n'est pas
bloqué je pense en tout cas en europe on peut faire appel à la coopération je ne sais pas
pas bloqué mais je pense que là ce qu'on a besoin aussi c'est aussi un peu de temps pour développer
des solutions qui fonctionnent ce qu'au-delà du budget même si l'open source aide même si on a des
comptes publics il va nous faire du temps et j'ai l'impression qu'on a du mal à accepter pour aussi
peut-être à carré politique et peut-être d'autres considérations à prendre compte mais on a du
mal à accepter qu'aujourd'hui bien un plan il doit se prévoir sur dix ans il doit pas se prévoir
sur trois ans et ça c'est un autre problème après mais je pense que le fond du problème est là
parce qu'on sait faire d'investissement public moi je vais reprendre un exemple très récent là
du coup la qu'on s'appelle la gendarmerie ils sont ils étaient dessinés je crois que chez michubichy
à une époque ils étaient renaux et ils sont en train de repartir sur de la alpine qui est des voitures
construit en france donc on a possibilité on sait faire du financement public et des commandes
publics qui vont vers l'industrie française mais là le problème c'est juste une vision à long terme
d'attendre des retombés à long terme je vais juste rebondir sur ce qu'il y a après je
laissais la part au nez parce que je crois qu'il s'est pas exprimé sur le sujet il y a un truc
aussi qui s'est passé je sais pas si vous si vous en avez conscience mais on est passé d'assepténa
un cacénat et mine de rien réduire des mandats présidentiels de 7 à 5 ans ça réduit la durée
de vie des projets même si alors il y a une différence entre les gouvernements et les états
c'est à dire que les projets peuvent être menés par l'état qui en théorie est pas pas lié à une
couleur politique même si on sait l'état et les dirigeants sont liés à des couleurs politiques
parce qu'ils sont nommés par les gouvernements et autres je pense que ça aussi ça a changé
quand même pas mal de choses là dessus sur les visions long terme des projets long terme
mais t'as raison il faut des projets long terme c'est sûr ça a changé des choses mais je pense
que dans le cas là c'est c'est pas ce qui bloque parce que les projets comme les centrales nucléaires
les projets comme tous les projets que t'as évoqué c'est des projets qui se sont en plus de 7 ans
c'est des projets qui t'es vraiment sur de la très longue vie donc ça a changé des choses oui
il y a sûrement des projets qui sont tombés là un peu en des huétudes qui ont eu plus de mal je suis
d'accord mais en réalité la stratégie de fonds c'est toujours construit sur des quinquennats
multiples sur des mandats multiples en fait potentiellement même de partiques et des différents
donc le le fond du problème c'est juste d'avoir cette vision plus long termine c'est surtout cette
vision on va dire plus risqué on va pas se le cacher parce qu'aujourd'hui c'est quand un
gouvernement ou quand une boîte on va prendre plutôt exemple une boîte parce que j'ai pas envie de
politiser non plus trop le débat si tu prends une boîte aujourd'hui comme je disais d'ailleurs
c'est un moins gros risque de dire je vais sur la double h j'utilise mes services etc que d'aller
que d'aller sur en fait sur sur zéro et dire bah je vais recommencer toutes zéro vous avez un risque
d'échec donc c'est plus logique pour eux aussi de partir dans la chose qui est moins risqué là il ya
moins de culture de risque dans ces niveaux là dans ces milieux là et c'est pas déconnant non plus
je vais laisser la parole à renais parce que le pauvre on le on enchaîne un peu depuis tout à l'heure
voilà moi je vais pas forcément beaucoup plus de choses à ajouter après ce que je voulais dire
c'est que bah je pense ça nous fait aussi un peu mal parce que on sait que si c'est des acteurs
européens ou français et bah c'est une finesse et quand même de l'emploi en France voilà on aura
pour tout cas donc c'est pour ça que je pense qu'on est assez pour essayer d'avoir quelque chose de
souvent je pense qu'il y a effectivement les états unis enfin en tout cas le gouvernement américain
me semble finance beaucoup plus ces acteurs voilà ça y a pas il y avait pas de soucis là dessus et
puis ce que je peux ajouter je pense qu'une des difficultés qu'on a aussi en France c'est peut-être
qu'on a moins de culture de faire des partenariats entre les différents acteurs et là je crois
qu'aujourd'hui il faut vraiment que les différents acteurs de ce domaine là trouvent des
synergies parce que c'est un moyen je pense de combler un petit peu le retard mais voilà faut
arriver à s'entendre et j'ai l'impression qu'on est plus fragmenté ou du moins les acteurs arrivent
moins à se faire des partenariats ensemble que au niveau des usc
j'ai pas la solution en tout cas c'est une parfaite transition avec la dernière news
je sais que vous en avez un petit peu parlé rapidement lors d'un précédent podcast mais
je voulais revenir et là on est parfaitement dans le sujet c'est le fait qu'OVH va
publier en open source des morceaux de son infrastructure et des manières d'intégrer
une partie des produits entre eux donc leur vision c'est exactement ce dont on est en train
de parler c'est que en face de nous on a des américains qui ont des moyens immense et nous
petit français on a vraiment du mal à se mettre en face par contre au niveau européen
veut faire des choses yagia x qui a commencé à donner des pistes alors je sais pas si c'est
le fait que ça a été noyauté par des américains des chinois et compagnie où finalement certains
acteurs privés se sont dit si on veut que ça marche il vaut peut-être mieux qu'on fasse ça entre
nous en tant que personnes intelligentes et sociétés privées qui savent travailler et pas du côté
politique où ça va partir en sucette et tout va partir en fumée donc finalement c'est j'ai eu une
j'ai assité une grande présentation de Thierry Souch qui est maintenant le CTO d'OVH qui a réussi
à convaincre Octave Clabard à passer toute leur infrastructure en open source donc c'est quand
même un changement assez majeur pour eux et quand il dit tout passer en open source c'est toutes
les briques qui sont utilisées chez eux pour la partie PAS pour la partie YAS pour tout ce qui
intégration de tout ça parce qu'il y a déjà une partie des choses qui sont en open source comme le
portail d'administration ils vont petit à petit tout passer en open source donc pourquoi c'est
en fait ils veulent que quand on est dans un cloud on puisse facilement partir de ce cloud pour aller
dans un autre parce que finalement pourquoi on va chez AWS c'est que c'est un standard de marché
pour pas mal de choses et finalement on peut skyler facilement rapidement on a des outils qui sont
déjà tout près pour aller tourner ployer un projet facilement rapidement là ce qu'ils veulent
faire c'est à peu près la même chose mais qu'on puisse prendre un projet qui est hébergé chez OVH
et qu'on puisse aller le mettre ailleurs et ailleurs ça peut être n'importe où il y a même des
américains qui pourraient reprendre la solution et l'intégrer chez eux mais un acteur à un opérateur
allemand peut très bien prendre leur solution l'intégrer l'installer de la même manière et
finalement le projet qui tourne chez OVH on le récupère on va le mettre en Allemagne la loi change
en Allemagne on peut plus stocker des données chez eux pour une raison x ou y on reprend les données
on va les mettre en suisse dans un cloud qui a à peu près les mêmes installations et ils veulent
construire ça un petit peu comme de l'open stack avec des espèces de briques de l'ego qui vont
s'enchevêtrer les unes aux autres et finalement chaque provider pourra déployer chaque morceau de
la solution donc soit déployer l'intégralité soit en déployer seulement une partie soit rajouter
des briques à lui qui pourra mettre en open source et que du coup OVH pourra installer de son côté
donc je pense que c'est vraiment un changement majeur dans le dans le monde de l'IT qui va arriver
parce que un opérateur comme ça qui met tout en open source ça va être un boulot énorme pour eux
et ça va être un truc vraiment intéressant pour nous parce que en tant que utilisateur d'une
petite boîte moi dans ma boîte je suis seul administrateur système je vais clairement
par déployer un OVH dans ma boîte par contre une boîte comme EDF peut-être qu'ils aimeraient bien
avoir une partie de cloud privé pourquoi pas prendre la solution d'ovh avoir son cloud privé et
quand ils ont plus de suffisamment de ressources en interne ou alors OVH est moins cher et puis
c'est pas problématique de mettre des données chez eux ils peuvent avoir de cloud entièrement
compatible et donc le fichier terraforme qui marche dans leur cloud va marcher chez OVH et viser
ça et puis donc on peut le faire en privé et puis voilà ben c'est déjà pas mal de choses
que j'ai raconté je sais pas si vous aviez vu tout ça et est-ce que ça évoque chez vous Tristof
alors moi je connaissais pas les détails derrière mais c'est assez intéressant après alors c'est
super intéressant parce que dans une optique multicloud un peu compatible et interopérable
du coup je vois vraiment l'intérêt après je me pose la question de savoir parce que le business
du libre enfin quand tu mets du libre dans ta société le coeur de ton business en règle
générale tu libères pas tu libères les briques sous-jacentes est ce que là OVH va tout libérer
et dans ce cas là ça va être quoi leur plus valu appart évidemment la manière dont tu gères
ils gèrent leur infrastructure physique ça va être quoi leur plus valu je m'inquiète un
petit peu là dessus bon je pense qu'ils ont quand même réfléchi c'est les gros boîtes
OVH cloud donc je sais pas trop en tout cas l'interopérable pérabilité promise moi je dis oui
je dis oui et puis pourquoi pas en effet après du multicloud avec d'autres briques un peu plus
propriétaires ou autre je pense que quand t'es OVH tu peux te permettre de tout mettre en open
source parce que de toute façon tes clients sont déjà chez toi donc oui il ya quand même un
truc si je voudrais trop je dirais c'était un peu open stack en fait dans le principe si je
voudrais être un petit peu tachin mais au delà de ça en fait c'est un peu on va dire c'est un
possible manière je pense de s'aligner sur ce que font OVH et cp tout ça avec les parties qui sont
possibles à mettre dans le cloud privé parce que sinon c'est pour ce qui a portabilité par rapport
non mais ils n'avaient pas d'offre qu'on puisse auto héberger en privé en soi pour le client en
use case ça va répondre à ça après je suis d'accord c'est open donc c'est il ya plus d'avantage
c'est à mais pour le client lambda lui il va juste le mettre dans sa case derrière ça pourquoi je
dis ça parce que en fait le souci derrière et c'est le gros souci qu'on retrouve avec l'idée de
standardisation on va dire entre tous les cloud et notamment le souci de vendeur locking c'est
que je vois mal un autre héberger dire on va suivre les mêmes trucs qu'ovh et tout et en
tout cas si le fait qu'est ce qui va se passer c'est qu'un mois il va se dire bah moi je veux
développer ça mais bon le projet on n'est pas d'accord et on va se retrouver avec des features
en fait qui sont qui sont pas les mêmes chez un et l'autre et donc on perd cette compatibilité
et si on y réfléchit bien c'est là où je veux revenir sur mon point et c'est très marrant c'est
qu'à la base OVH ils ont pris open stack et comme open stack en fait eux ils voulaient le faire
évoluer d'une certaine manière ils ont forqué un peu des choses et ils ont fini par avoir une grosse
partie qui est même plus compétible avec open stack donc c'est pour ça cette partie de ben on
pourrait être interopérable avec potentiellement d'autres fournisseurs pour moi c'est il n'y a pas
de monde où ça peut marcher en fait comme ça en tout cas avec les informations qu'on a après
pour la partie vous pouvez déberger au volet de votre cloud privé ou chez un autre cloud qui fournit
des bm ou des bn pourquoi pas et là en fait ça juste se met en face du use case que fait à
double s avec outpost ou d'autres et ça reste quand même une réponse intéressante parce qu'il
va en l'open source derrière bah autrement autrement je suis assez dubitatif en fait sur le
le côté branding en mode ça va offrir un standard qui va être interopérable
effectivement on peut se poser la question de à quel point ça va pouvoir être interopérable à
quel point tu vas pouvoir l'installer chez toi mais bon ils ont le mérite d'essayer j'espère
que ça va prendre ils ont la volonté de de mettre dans une espèce alors je crois que là j'ai
quelques doutes mais faudrait vérifier la présentation je crois qu'ils ont la volonté de faire une
fondation dans laquelle ils vont pouvoir faire rentrer d'autres personnes et d'autres personnes
ça peut être des concurrents à eux dans la partie qui vont réaliser en open source c'est aussi
le fait de pouvoir installer un open stack et toutes les intégrations qu'ils ont faites donc
ils vont garder open stack et en fait open stack et une des glabriques qui peut être installée chez
eux donc c'est parce que finalement open stack c'est juste la partie public cloud qui a chez eux
mais il y a d'autres briques qui sont pas du tout open stack il y a certaines briques qui utilisent
de l'open stack derrière par exemple les bases de données manager je crois qu'aujourd'hui elles
sont toutes sur l'open stack et par contre il y a certaines briques qui ne fonctionnaient pas avec
open stack notamment toute la partie iam ils ont essayé qui stone avec en essayant de mettre
leurs millions de comptes dessus et en fait ça n'est pas donc du coup ils ont cherché à développer
ça par eux-mêmes et finalement ils ont racheté une boîte alors je crois que c'est une boîte allemande
ou je sais plus enfin bref ils ont racheté une boîte et ils sont en train de mettre en open source
la solution qu'ils ont qui viennent de racheter donc je pense que c'est vraiment un surveillet
prêt parce qu'il y a certains composants qui pourront être utilisés de manière autonome et
après est ce qu'on sera capable d'installer un ovh concurrent en une semaine je pense que non
est ce qu'on sera capable de les concurrencer au niveau prix je pense que non mais je pense que ça
va apporter pour certaines grosses boîtes qui voudront ça chez elles ils pourront avoir du cloud
privé avec niveau de fonctionnalité beaucoup plus important que ce qu'on pourrait avoir avec
juste de l'open stack je tiens juste après ce je dis pas que ça va pas marcher je dis juste que
pour moi la vision elle va plus moi pour moi ouais on va partir là dessus c'est des grosses boîtes
qui veulent héberger une partie ou faire du cloud hybride qui vont l'utiliser comme AWS outpost
encore une fois gcp je sais plus comment ça s'appelle etc mais dans je pense pas que d'autres
d'autres concurrents entre guillemets vont l'implémenter masques et c'est qu'il faut regarder les
alternatifs que tu as aujourd'hui finalement bas tu as de l'open stack tu as en toss pour google et
celui d'avis blvs donc tu parlais que je connaissais pas poste je sais pas combien ça coûte je
sais pas comment ça s'installe mais a priori en toss c'est c'est il faut un sacré budget donc en
gros tu vas pas installer ça dans ta pme mais si tu regardes les alternatifs qui existent
bah il n'y en a pas tant que ça et si tu regardes open stack globalement c'est que la partie
compute alors je dis là que la partie compute pour simplifier parce qu'il y a le réseau le
stockage mais t'as pas les bases de données t'as pas la partie à yam vraiment poussé il manque
plein de trucs pour avoir un équivalent d'aws ah oui non mais ça je dis juste que le vrai problème
dans les trucs là c'est que si jamais un concurrent l'utiliser en fait il y a un moment où il
sera pas d'accord et ça va faire comme beaucoup de projets open source quand t'es pas d'accord ça va
finir par un fork et chacun part son côté peut-être oui alors je pense que tu devais parler de
boy d rm qui avait été racheté par ovh et si c'est ça on m'a parlé en effet dans un acte
de vote dont je vous mets liens en description renais c'est quoi ton ton avis là dessus en fait
quand je disais que j'avais pas de solution non j'en ai pas forcément mais par contre je pense
qu'effectivement il y a une vraie piste il y a une vraie piste avec ce type de fin de projet moi
je rêve de qui effectivement que les acteurs français pas se fédèrent et contribuent sur un
projet open source pour combler un petit peu leur retard ça serait pour moi je pense que c'est une
bonne voie après je suis peut-être un peu naïf et effectivement je pense que coordonner un projet
comme ça ça va être relativement compliqué mais je pense qu'il y a quelque chose à faire de ce
côté là et comment je sais pas mais ça me parait très bon je ne sais pas aussi pessimiste que
damir sur le sur le open source et la terre opabilité parce que j'ai un exemple de projet open
source interopérable qu'on voit un peu de partout qui s'appelle coubernétise et mine de
rien ça a popé il y a quelques années et on trouve du coubernétise de partout et c'est
quelque chose qui a standardisé pas mal pas mal pas mal de choses en cloud dans le monde des conteneurs
en tout cas donc pourquoi pas la vie on le dira je pense je suis pas d'accord on verra pour
cubernette c'est plus dur c'est plus compliqué que ça chacun d'a son implementation etc c'est
qu'un centre de quelque chose oui mais du coup c'est interopérable quand même la pays on est le
même c'est la même tu l'utilises etc en effet l'applémentation de comment tu le mets c'est
différent on parle quand même de quelque chose de très précis en fait ouais ouais mais là on
parle de la fin de cloud c'est quand même très tentaculaire en fait comme idée oui mais on verra
bien il c'est sur le même principe t'as plusieurs briques que tu peux installer ou intégrer dans ton
propre plan donc là on parle à peu près de la même chose en tout cas pour le moment je suis
dubitatif si vous avez si vous avez raison et que je me plante tant mieux pour ovh je n'ai pas
pas qu'on les auditeurs pensent que je déteste au vh au contraire il faut quelque chose qui est
intéressant mais moi en tout cas personnellement je ne mettrai pas ma pièce sur cette partie en
tout cas open source publique je pense pas que ça soit tant mieux pour ovh parce que c'est pas
forcément eux qui ont plus à y gagner ceux qui ont plus à y gagner c'est nous parce que
on va avoir des cloud qui seront compatibles les uns avec les autres et puis des produits open
source qui fonctionnent dans toutes les entreprises il y en a par exemple il y a la stick search
c'est disponible à peu près partout à peu près d'open source partout aussi c'est pas comparable
là on parle de produits qui font vraiment on va dire une chose ultra précise et encore c'est pas un
standard mais la stick search à l'endroit où ils utilisent stick search d'autres ils vont utiliser
autre chose c'est des produits mais t'as différents choix de mains c'est vraiment la partie j'y crois
pas que demain on va choisir un cloud provider et qu'il aura la même appellie que son voisin etc
c'est tout se mis d'accord c'est côté un peu magique là j'y crois pas bon en tout cas l'avenir
nous le dira et je pense qu'on va passer à la suite puisque on a une rubrique maintenant
pratiquement dans chaque épisode c'est les petits outils de actus de vops et renait nous a
alors ouais deux petits outils pour cette fois donc un qui peut alors qui peut servir en fait
en alternatif à la commande time donc time souvent c'est un petit outil pour lancer un programme et
voir entre guillemets combien de temps il a pris et avec éventuellement l'idée de combien ça a pris
temps processeur de temps user pardon enfin au niveau processeur de type user de type
système etc et donc là il ya un outil qui est très pratique qui s'appelle hyperfine qui est
un outil pour faire un petit peu la même chose mais avec en plus une notion de bench en ce
régime et donc on peut comparer par exemple deux programmes le temps d'exécution chacun des programmes
pour voir la différence donc c'est très utile par exemple pour pour faire la différence entre
une implementation avec un algorithme a et une implementation avec un algorithme b et voir
lequel des deux est le plus efficace et c'est un petit outil qui paye pas de mignes mais qui est
bien foutu et qui peut être très utile voilà je sais pas si vous le connaissiez et si vous voulez
ajouter des choses dessus alors je ne connaissais pas ce tout il a général ajouté dessus à part
qu'il faut qu'on l'essaye comme d'habitude voilà je vous conseille de jeter un petit coup d'oeil et
après mon deuxième outil alors il fut désolé il est un petit peu hors sujet par rapport à notre
podcast et au dévost mais c'est voilà il se trouve que bah j'ai changé de poste il y a pas très longtemps
et j'ai des contacts avec des gens ultra-atlantiques et c'est toujours un petit peu pénible de de trouver
pour les réunions des choses comme ça pour différents côles de trouver les on va dire des
heures correspondantes avec le décalage et alors il y a plein de sites qui font ça mais voilà il y a
un petit outil qui a été fait par quelqu'un que s'appelle armin renasher donc armin renasher c'est
juste quand même pour le présenter un petit peu c'est la personne qui a écrit le framework flasque
en piton encore framework web enfin voilà assez minimaliste entre guillemets si on compare à du Django
par exemple donc il est connu pour ça et c'est quelqu'un qui travaille pour une boîte qui s'appelle
sentry sentry juste pour en dire deux mots c'est une c'est une boîte qui permet de faire du voilà
de qui donne des intégrations pour différents langages et en cas de on va dire de problèmes de
bug etc remonte vulgarement je vais dire la stack trace vers un système centralisé sur sur le net de
manière ensuite à pouvoir analyser les causes de crash et donc trouver pouvoir débuguer plus
facilement l'entreprise solution qui est assez sympathique et donc cette personne je pense qu'il
avait voilà ça il avait aussi un peu des problèmes pour définir quand est ce qu'il faut faire ses
confcôles et il a créé un petit outil qui s'appelle wend et bah c'est un outil tout bête mais
simple command line on peut savoir trouver facilement dire ouais donne moi la confcôle enfin deux mois le
temps quelle heure il sera demain par exemple à 16 heures à san francisco et à topyo voilà donc
avec une syntaxe un petit peu un petit peu à prendre mais assez facile à retenir voilà un
petit outil très pratique pour pour savoir quand faire ces appels avec des gens à l'étranger si
vous avez besoin ça pour le coup ça m'intéresse c'est parce que j'ai souvent ce problème là non
que je traite moi je traite un équipe on est pas sur le même fusillard pas dans même pays dans
lui cas et du coup c'est un ce genre de petit outil qui est assez pratique
je pense que ça peut aussi après ben s'intégrer pour faire voilà pour en faire des choses dans
discrète des choses comme ça ça c'est pas voilà pas un outil très complexe mais mais qui a
le baird de l'exister j'ai aussi souvent problème ou un utilisateur me dit j'ai une erreur à telle
heure maintenant je mets tous mes serveurs en utc comme ça c'est plus facile pour
reconvertir après dans l'autre sens mais du coup pour tous mes utilisateurs français c'est
j'ai eu un problème à 14 heures alors il faut que j'ajoute j'enlève combien d'heures
du coup merci parce que ça va me faire gagner pas mal de temps
voilà donc les liens seront dans sans descendant les notes du du podcast tout à fait en
description de l'épisode de podcast la vidéo youtube ou dans le dans le blog parce que chaque
chaque podcast et vidéo youtube a un article de blog sur le site de l'hydra on met tout dedans
parfois c'est assez long donc donc allez chercher allez gratter parce que je sais que tout
monde ne dit pas l'intégrité des descriptions mais on documente quand même pas mal de choses
d'ailleurs en parlant de documenter on m'a demandé il y a pas longtemps si on pouvait
réutiliser mes vidéos les vidéos du podcast et donc j'en profite pour rappeler à nos chers
auditeurs et auditrices que tous nos podcasts et toutes les vidéos qui sont sur la chaîne youtube
sont en créatif commo donc en licence libre vous pouvez les utiliser les partager
etc etc etc bref la licence est dans le lien de la description il suffit juste de nous créditer
et puis nous envoyer un petit mot pour nous dire hey j'ai utilisé votre épisode de podcast et
c'était bien cool donc nous sommes arrivés à la fin de cette émission encore fort long et je vais
laisser à mes trois co-animateurs le plaisir de conclure et moi je vous dis à très bientôt pour
un nouveau podcast et je laisse la parole à Nicolas pour le mot de la fin l'open source c'est
d'amir est-ce que tu as un mot de la fin aussi si vous voulez prendre une bonne résolution ça peut
être intéressant de essayer de contribuer à un petit projet open source du vous y a un z
intéressé ou à la documentation ou même faire un petit don tous les mois ça peut être c'est
toujours une bonne chose et enfin renais tu as le mot de la fin de la fin et ben je vais faire
dans le classique pour pas trop allonger le podcast donc j'espère que cet épisode vous
aura intéressé n'hésitez pas à faire vos retours sur le forum et à bientôt j'espère
merci d'avoir écouté radio dévobs n'oublie pas de nos télébizodes plus la note sera élevée et
plus sera mis en avant dans les applications tu peux aussi le partager ça nous aidera le diffuser
et à rendre le mouvement plus visible si tu as envie de discuter du mouvement alors rejoins
nous dans la communauté des compagnons du dévobs à bientôt la baladeau diffusion des
compagnons du dévobs et produit à l'hydra