Qu'est-ce qui nous a interpellé dans les actualités Cloud ou DevOps en ce mois de décembre 2021 ?
Et tu vas voir que ça bouge. Installe-toi, prends un petit café ou un petit thé,
et c'est parti pour ce nouvel épisode d'Actu DevOps.
Bienvenue sur Radio DevOps, la balade aux diffusions des compagnons du DevOps.
Si c'est la première fois que tu nous écoutes, abonne-toi pour ne pas rater les futurs épisodes.
C'est parti !
Bienvenue à toi chers compagnons, et dans ce nouvel épisode d'Actu DevOps, je suis avec René,
bonsoir René, bonsoir et Erwan. Bonsoir Erwan. Bonsoir. On dit bonsoir parce qu'on enregistre
soir, mais vous, vous avez l'épisode le matin. Mais reste bien jusqu'à la fin parce que tu vas
découvrir les petits outils qu'on t'a dégoté, parce que Radio DevOps te fournit en outil maintenant.
Erwan, continuez, je vais faire un petit appel au soutien. Si tu apprécies notre podcast et si tu aimes ce qu'on fait,
tu peux nous soutenir sur Libérapay, tu peux nous faire un petit don ou même nous laisser un petit message aussi
sur YouTube ou sur les applications de podcast, tu as le lien en description.
Alors, c'est moi qui m'y colle pour commencer, et je vais vous parler de GaiaX, parce qu'on en a beaucoup parlé
dans Radio DevOps et il y a encore du grab-us chez GaiaX. Alors, plutôt que de vous faire une bref comme d'habitude,
en fait je vais vous parler, je vais vous citer un poste LinkedIn de David Clément,
donc Clément David, excusez-moi, Clément David, ce qui est CEO de Padoc,
Padoc c'est une société de conseil dans le cloud, parce qu'il résume très pour très ce que je pense,
et on va parler de la sortie de Skylway de GaiaX, je vous en ai déjà parlé dans la Troye du Vendredi du 19 novembre,
donc je vous renvoie à la Troye du Vendredi du 19 novembre pour en savoir plus,
mais là, on va écouter ce que Clément m'ont dit.
Petite bombe dans le cloud français, Skylway claque la porte de GaiaX,
plusieurs personnes m'ont demandé l'impact de cet événement, donc je vous partage mon avis,
alors c'est bien sûr la vie de Clément David, pas lui, je vous préviens ces caches.
Le contexte, lors de la deuxième conférence annuelle de GaiaX, vous savez le cloud européen,
le CEO de Skylway, Yanmechel a lâché, je cite,
je n'ai plus de temps à perdre avec un projet gangréné de l'intérieur par les GAFAM, sauvage.
GaiaX a justement pour but de garantir la souveraineté des données des Européens,
des cloud providers américains et chinois, Amazon Web Services et Microsoft ont tête.
Alors pourquoi Yanmech n'est pas content ?
Alibaba, Microsoft et Amazon Web Services étaient sponsors de la conférence en question,
ça veut dire qu'ils payaient en fait, on payait la conférence.
Quand tu réunis tes alliés pour discuter de comment se protéger des certains concurrents,
c'est quand même étrange d'accepter un gros chèque pour que les mecs puissent venir faire leur pub.
Mais le vrai souci c'est surtout que depuis mars, les mêmes entreprises chinoises et américaines
font partie de GaiaX, ils sont présents dans les comités de travail et bossent avec les autres membres,
ça crève cheval de 3.
Qu'est ce que ça va changer au destin de GaiaX ?
Rien, pourquoi ? Parce que selon Clément GaiaX n'avait déjà plus vraiment de destin,
petitain, parce que 2 ans après sa création, on ne connaît toujours pas l'objectif du projet,
on sait tout ce que ça existe, mais qui peut nous dire aujourd'hui ce que le collectif est en train de faire et sur quoi il travaille ?
Petit deux, parce que Scalway ne fait qu'appuyer là où ça fait mal à partir du moment où ils ont dit GaiaX,
ils ont dit les chinois et les américains sont les bienvenus si ils promettent d'être sympa.
La posture en prend un coup et la crédibilité du projet aussi.
Petit trois, parce que la stratégie cloud du gouvernement présenté en mai a mis fin au débat,
porte ouverte à Google Cloud Platform et Microsoft en partenariat avec Thales, Orange et Capgemini.
Circulé, il n'y a rien à voir.
La souveraineté de nos données et de nos compétences est un sujet clé pour le futur,
je pense qu'il s'écriera sans GaiaX.
Donc je finis la citation de Clément Davide.
Pour le coup, on peut aller plus loin parce que ce qu'on sait c'est que GaiaX y fait partie depuis juillet 2021
d'un autre projet de cloud européen qui est l'European Cloud Industrial Alliance nommé Euclidea,
qui est en fait un regroupement de 22 sociétés européennes et dedans il y a BlueMind, Jamspot, NextCedy,
NextClaude ou encore Abilion que je ne connais pas.
Je vous en parle déjà dans la trouvée du vendredi du 16 juillet 2021 dont vous avez le lien en description.
En parallèle de ça, sur LinkedIn, il y a Michel Paulin qui est le directeur général d'OVH Cloud qui déclarait.
Je cite, nous sommes membre fondateur de GaiaX et au bord de GaiaX.
GaiaX est en ce moment à la croisée des chemins.
Les intentions sont extrêmement bonnes parce que c'est la garantie d'un cloud ouvert, réversible et interopérable.
Il appelle à l'esprit de combattivité avec insistance et toujours je cite, il ne faut pas déserté GaiaX maintenant.
Il faut se battre aujourd'hui. Je ne suis pas sûr que cela réussira.
Pourtant, nous sommes très moteurs et c'est maintenant que ça se joue.
Parallèle de ça, Octave Clabat disait aussi dans un post-linkline.
Tout le monde n'est pas intéressé par le cloud réversible et interopérable, nous, on l'est.
On prépare l'open source de nos projets GaiaX sur notre futur public cloud avec 3 frameworks.
HW plus Tor qui permet d'aller de 1 à 100 B, OSI qui est en fait l'équivalent de IAM, de KMS, etc.
Et le 3ème projet qui est PAS qui permet du stockage, de la database de services, du network, du réseau, de l'intigence artificielle du Big Data.
Voilà grosso modo ce qui se passe au tout de GaiaX en ce moment.
Et je voulais savoir ce que vous en pensiez tous les deux et je vais laisser la parole à Erwan parce que son chat a l'air d'être assez volontaire pour parler GaiaX.
Il doit être aussi blasé que moi sur le sujet.
Ce qui est un peu perturbant c'est que c'est un projet qui part sur de bonnes attentions avec des acteurs importants,
qu'on des moyens de faire bouger les choses et de faire quelque chose d'ambitieux.
Et en fait ce qui se passe avec Skelway, finalement, cristallise toutes les craintes qu'on a autour de ce genre de projet
où finalement on ne sait pas trop où ça va, c'est très nébuleux.
On voit même que du coup ça ouvre à la porte des associations, enfin des partenariats avec les GaFAM tout ça.
On ne comprend pas grand chose, c'est quasiment, j'imagine que d'autres vont suivre.
Mais d'ailleurs j'ai pas fait attention mais dans ce que tu disais,
t'as pas évoqué les bergeurs hosteurs qui a aussi quitté le projet.
Il y a l'impression qu'il y a d'autres acteurs de ce groupe qui vont petit à petit se désolidariser du projet.
Encore une fois ça sent un truc qui va aller dans le mur.
Et toi René, t'en penses quoi ?
Je pense que c'était un peu tout dit.
Après ce qu'on nous avait dit un petit peu c'est que c'était pour établir des standards d'interoperabilité.
Enfin ça reste quand même super flou et concrètement qu'est-ce que ça a produit ?
Alors après moi je suis peut-être là le truc au jour le jour, enfin à moins de là.
Mais je sais pas, j'ai l'impression que ça dure depuis un petit moment et je doute pas qu'il travaille, il n'y a pas de soucis là-dessus.
Mais voilà on voit rien en fait de réellement concrète palpable qui sort de Gaia X.
Et voilà c'est un petit peu effectivement décevant.
Après est-ce que c'est dur à dire, je pense qu'on manque d'infos pour apprécier la situation ou ça a juste valeur.
Et voilà est-ce qu'il faut rester et essayer de faire corps ?
Oui ça serait peut-être la sage décision mais peut-être que voilà la réaction de partir un petit peu là parce qu'on pense que c'est plié.
Difficile de juger je pense à notre niveau.
Et puis en plus finalement, la OVH qui est open source tout un tas de choses là, enfin au final ils le font dans leur coin,
ce n'est pas un truc qui est lié à Gaia X donc vraiment je ne comprends pas bien où ça va.
Oui parce que quand on parle d'atterre-opérabilité du cloud forcément ça passe par des logiciels que tu peux retrouver à plein d'endroits.
Donc évidemment ça passe par des logiciels libres.
Et pour le coup Gaia X a quand même commencé il y a deux ans et a priori on ne sait pas ce que ça donne.
On sait juste qu'il y a en effet des labels qui vont être donnés, il y a le gouvernement d'un autre côté qui parle de cloud de confiance,
il parle plus de cloud de souverain ou quoi que ce soit.
Toutes ces questions là j'ai l'impression qu'elles disparaissent du débat et que pourtant on aurait très bien pu garder Gaia X européen
et collaborer avec les cloud américains ou chinois sans les faire rentrer à l'intérieur de Gaia X ça aurait posé aucun problème.
Je ne comprends pas qu'on les ai fait rentrer.
Je veux dire tu peux coopérer avec des gens qui ne font pas partie de ton réseau,
typiquement nous on est dans notre coopérative, on coopère avec d'autres coopératives et c'est pas pour ça qu'on fusionne, qu'on fait un groupe.
C'est ça l'idée, je ne comprends pas bien non plus.
Et je voulais citer un talk que j'ai regardé finalement hier soir
et c'est un talk de Quentin Haddon qui nous parle de cloud de souverain d'un point de vue entrepreneurial
et pas d'un point de vue légal ou législatif comme je le fais.
Et il en parle d'un point de vue économique et c'est un talk qui est très très bien, je vous mets le lien en description.
On ne parle pas vraiment de Gaia X, enfin c'est un talk qui est en partie en réaction avec ce qu'il se passe
parce que du coup il nous explique de pourquoi est-ce qu'on doit faire confiance à nos fournisseurs cloud européens
et pourquoi est-ce qu'on doit mettre nos billes là-dedans et pourquoi on ne doit pas laisser en fait l'intelligence partir complètement chez les américains.
Donc je vous encourage à aller voir ce talk.
Il est très bien, je l'ai entendu aussi et il est pas mal.
Il déroule bien plein d'idées je trouve.
Et bien on va passer à la suite alors parce que je crois que si on continue on va déprimer tous les trois.
Rodé tu vas nous parler d'une conférence, enfin plutôt d'une intervention et moi je vous parlerai de la conférence dans laquelle a eu cette intervention.
Oui, alors juste pour dire que j'ai eu un peu de mal à trouver mes infos pour j'essayais de faire un peu original, changer un petit peu les thèmes
et ça a été un peu dur mais j'ai trouvé un truc, enfin une info assez sympa donc c'est une intervention de quelqu'un qui est à la fois blogueur
à propos du dev, GraphiCart, donc assez connu sur Youtube et qui a fait une configuration pour en expliquer pourquoi c'était intéressant d'apprendre plusieurs langages
et je trouvais cette intervention plutôt intéressante, je partage en grande partie son avis.
Alors c'est peut-être pour ça, je suis peut-être un peu biaisé mais voilà il abordait des points assez intéressants sur l'ouverture que ça donne d'apprendre plusieurs langages
et entre guillemets il enterrait un petit peu quelque chose qui me fatigue, souvent il y a un peu une guerre entre les langages, les gens qui font du Java sont décris par ceux qui font du PHP, vice versa, enfin voilà.
Donc là il enterre un petit peu l'âge de guerre en disant que tout ça c'est des outils, certains outils sont mieux dans certains contextes que d'autres
et voilà je partage ça à 100%, je pense que ça permet d'ouvrir un petit peu les esprits et qu'apprendre d'autres langages ça permet aussi d'être un meilleur programmeur
parce qu'on voit des choses qui sont possibles dans certains langages, certains paradigmes par exemple qui n'existent pas dans tel autre
et entre guillemets c'est un enrichissement et voilà donc c'était assez en phase avec ça et je pense que c'est intéressant de l'écouter
et voilà ça peut faire changer un petit peu l'état d'esprit de certains, ça peut être pas mal.
L'autre chose aussi qui est importante c'est que je pense qu'aujourd'hui en étant développeur il y a peu de chance qu'on reste sur un seul langage
quand on donne la diversité qu'il peut avoir et de toute façon avec l'évolution je pense que ça va être compliqué de faire l'intégralité de sa carrière sur un seul langage
je pense que ça va être de moins en moins possible, c'était peut-être possible il y a quelques années aujourd'hui je pense que c'est un peu révolu.
Voilà donc j'ai trouvé cette intervention intéressante et voilà, vous voulez la partager et est-ce que vous avez entendu ou est-ce que ça vous parle ?
Moi je n'ai pas eu l'occasion d'écouter ce talk mais clairement ce que tu décrimes pareil ça devrait être enseigné partout
Alors pas forcément connaître tous les langages, ça prend un temps infinie mais par contre avoir suffisamment d'ouverture pour se renseigner etc.
Pour ne serait-ce que effectivement ce que tu évoquais l'apprentissage continue, on est dans des métiers qui évoluent tout le temps donc il faut un peu se mettre à jour, comprendre pourquoi avant on faisait des choses d'une telle façon et maintenant d'une autre
Donc c'est les logages et je mets ça sur toutes les techno en général et puis aussi ça permet l'apprentissage de nouvelles techno et de nouveaux langages, ça évite le dogme
et ça c'est quand même assez important et ce que tu décrivais avec les gens qui font du PHP qui crient sur les gens qui font du Java, en fait très souvent ça vient du dogme
parce que tu as une expertise sur un truc particulier qui marche très bien probablement dans ton contexte mais voilà quoi
donc cette ouverture d'esprit elle est aujourd'hui mandatorie pour évoluer dans les métiers de Lighty, ça c'est évident
Moi je n'ai pas regardé la conf, même si elle est dans la liste des choses que je dois avoir mais sauf que ma liste de vidéos à avoir est tellement grande sur Youtube que maintenant j'ai dépassé les 1000 vidéos
donc voilà mais bon je suis assez d'accord avec vous sur le fait que chaque outil doit être utilisé en fonction de notre besoin
et c'est vrai aussi dans les outils d'infrastructure, pas que dans les langages et donc les outils ont des objectifs et en fonction des objectifs qu'on veut avoir pour nos applications ou nos cloud
et c'est vrai aussi pour le choix des cloud, il faut choisir le bon outil qui est adapté à notre besoin et pas forcément avoir toujours les mêmes outils
je parle souvent du marteau de Maslow dans mes cours DevOps et le marteau de Maslow je ne sais pas si vous connaissez tous les deux
je pense mais je vais te laisser
donc le marteau de Maslow il nous disait que si on n'a qu'un marteau dans notre boîte à outils on voit tous les problèmes comme des clous
et du coup si on n'a qu'un seul outil à disposition on va essayer de tout régler avec cet outil là et des fois ça ne marche pas parce que si t'as une vis et un marteau clairement ça ne marche pas
donc ayez beaucoup d'outils et surtout posez-vous la question de quel outil est adapté à quoi
et donc
oui pardon je voulais dire je crois que tu voulais ajouter en fait parce que ça fait partie d'une conférence
ouais c'est exactement ce dont j'allais parler ouais
et donc c'est ce taux qui est parti de la 5 conf
la 5 conf c'est une conférence qui est organisée par Graven en ligne et Graven c'est un youtubeur aussi un très gros youtubeur
je vous mets le site de la conférence et de la chaîne youtube de la 5 conf en note je pense que vous n'aurez aucun problème à trouver Graven sur sa chaîne youtube
mais du coup je trouvais que c'est assez intéressant qu'il organise ça c'est une conférence gratuite en ligne qui dure deux jours
c'est la deuxième année et c'est super bien organisé
enfin je veux dire tous les taux qui s'enchaînent avec vraiment bon bref ils s'enchaînent très très bien
c'est ça que je voulais dire ils s'enchaînent très très bien
et finalement Graven il fait office de maître d'orchestre à présenter chaque taux que c'est vraiment super bien
je trouve pour les personnes qui n'ont pas la chance d'avoir des séminaires partout
typiquement moi qui suis à Saint-Etienne je ne vais pas apparaître tous les jours
donc du coup c'est bien d'avoir des conférences comme ça et ça me donne des divés à moi aussi
donc allez voir la 5 conf et toutes les conférences qui sont parce qu'il y en a plein des très intéressantes
et c'est le moment de vous rappeler aussi que le podcast est en créative common
donc en licence libre il en cesse et bah y'a ça à se dire que vous pouvez le découper
vous pouvez en prendre des bouts, les mettre dans vos propres publications, dans vos taux
vous pouvez les partager aussi, il faut juste nous créditer
si vous pouvez en plus nous envoyer un petit mot pour nous lire ça nous fera plaisir
donc n'hésitez pas à le partager et à l'utiliser que ce soit cet épisode d'actu DevOps
ou tous les autres épisodes de Radio DevOps puisque tous sont créatifs common
d'ailleurs si vous ne l'avez pas remarqué toutes les vidéos que je publie sur la chaîne YouTube
sont aussi en créatifs common
et donc je vais laisser la parole à Erwan qui va nous parler d'une fuite de données en Corune
oui donc il n'y a pas très très très longtemps
il y a eu une news qui a fait un peu parler puisque soit disons un million de sites WordPress
ont été victimes d'une fuite de données
donc déjà pour re-situer un peu de contexte pour ceux qui ne connaissent pas WordPress
c'est une plateforme, enfin c'est une plateforme principalement de blogs en PHP
qui gère du contenu web et qui est excessivement populaire
on n'a pas les chiffres exacts mais il y a en gros 40% d'internet qui est là dessus
donc forcément dès qu'on évoque une faille sur du WordPress
tout le monde tremble un petit peu parce qu'il y a énormément de sites concernés
et puis on sait que par le passé, un peu avant les années 2010
WordPress était très souvent utilisé par les hackers, ceux qui faisaient du SEO en mode black cat
pour se créer des backlinks faciles dans les footers de WordPress
du coup, qu'est ce qu'on apprend fin de novembre ?
c'est que soit disons une partie des sites WordPress hébergés par Godaddy ont eu une fuite de données
encore une fois si vous ne connaissez pas Godaddy, qu'est ce que c'est ?
c'est une maçonnante de l'hébergement web, ça offre énormément de services web
mais ça fait partie des très gros hébergers web dans le monde, dans le top 3
et en gros, ce qu'il va faire pour un des services qu'il offre c'est
il héberge votre site WordPress, il fait sa création, la mise à jour du corps, des plugins, des backups, s'agère le cache etc
donc ça fait vraiment beaucoup de choses pour vous si vous avez un WordPress
et donc en gros, ils hébergent environ 1 million de sites WordPress
du coup, il y a une fuite qui vient de chez eux, du coup, grosse panique
parce que les mails des utilisateurs ainsi que leur numéro, téléphone ont fuité
donc ça, avec toutes les histoires de phishing, faut faire quand même très attention
et puis en fait, on se rend compte que les passwords créés lors de l'installation ont fuité
ce n'est pas trop comment ça a été conservé mais en tout cas, ça a fuité
donc ça veut dire que les gens qui n'avaient pas changé ce password, ils pouvaient se faire route
on apprend aussi qu'il y a un SFTP qui est associé au compte pour que les gens puissent uploader des fichiers
ou quoi, le password de ce compte a aussi fuité
et on apprend aussi que la clé privée SSL, pour faire la rupture SSL du HTTPS
a aussi fuité, donc du coup, un peu grosse panique côté Godaddy
donc très vite, dès que tout ça a été détecté, très vite est compris
ils ont lancé un force du reset des passwords de toutes les plateformes WordPress qui s'est bergée
donc password DB, admin, etc. et du fameux SFTP
ils ont relancé leurs procédures pour réémettre une clé et les certificats SSL associés
etc. et en fait, ce qui se passe, c'est qu'il y a des gens extérieurs, donc WordPress
qui sont spécialisés dans la sécurité WordPress et qui ont fait tout un tas d'analyses
sur ce qui s'est passé un peu chez Godaddy, alors à leur niveau, puisqu'ils ne font pas partie des insiders
donc c'est une analyse avec ce qu'ils peuvent avoir comme information
et en fait, ils ont confirmé qu'il y avait plein de trucs qui n'allaient pas dans le côté Godaddy
par exemple, le password des SFTP, il semble-t-il stocké en clair, ou en tout cas avec un hash qu'on peut facilement reverse
par exemple en base 64, donc bref, il n'y a rien qui est salé ou quoi que ce soit
donc en fait, il démontre que en fait, s'il y avait une fuite chez Godaddy, on pouvait récupérer de façon facile visiblement
tout un tas d'informations qui étaient en clair et donc du coup ils ont fait un rapport, on vous mettra le lien
où ils décrivent tout ce qu'ils ont fait pour comprendre ce qui était en clair et tout
et donc désolé le chat est passé, ça m'a fait perdre le fil
et donc du coup au-delà du fait que ce soit facilement exploitable, on a surtout appris que le problème ne venait pas de voir presse
que ce n'était pas un problème de plug-in ou du corps de voir presse, donc déjà ceux qui avaient décidé de voir presse étaient rassurés
mais en fait visiblement une petite négligence à côté Godaddy, puisque si très vite ils ont communiqué pour dire ce qu'ils étaient en train de faire
et communiquer auprès de leurs clients impactés, le CISO, donc le chef de la sécurité chez Godaddy, il a tout simplement dit
qu'un accès non autorisé au CFA World Press a été découvert et que dès qu'ils s'en sont aperçu ils l'ont coupé
je ne sais pas si ça doit rassurer, mais ce qui est sûr c'est que depuis cette information et cette communication
et que du coup pendant un moment ça les arrangait bien quand on laisse penser croire que le problème venait de voir presse
ils n'ont pas trop communiqué, on sait juste qu'ils ont juste communiqué sur le fait que ce fameux accès tiers
a été exploité en gros depuis septembre par mois, donc ça fait un bout de temps, donc ça fait du temps avant que les gens
on peut imaginer qu'avec tout ce laps de temps que les attaquants puent récupérer tranquillement toutes ces informations
et donc depuis Godaddy ne communique plus vraiment, on ne sait pas trop où ça a emmené, mais même si a priori tout a été coupé
donc pour finir ce long fleuve de Parlotte, ce qu'il faut retenir c'est qu'encore une fois même sur des grosses hébergeurs
qui sont censés être hyper nickel sur la sécu, sur les process, etc.
on voit qu'il peut avoir des problèmes assez classiques en fait visiblement avec des accès non autorisés ouvert à tout le monde
et moi ce que je trouve plus inquiétant c'est effectivement tout ce côté un peu flou
je serais client Godaddy, je ne serais pas forcément rassuré sur ce qui se passe
parce qu'on rappelle au-delà du fait qu'il y ait cet accès non autorisé, il y avait tout un tas de choses écrit en clair, facilement exploitable
René, c'était Vak et quelque chose ?
oui, je pense que tu as déjà déjà dit beaucoup de choses, effectivement, ce qui est assez choquant c'est un petit peu la transparence
nous on a quelques acteurs français au moins qui ont des soucis, ils sont assez clairs
voire même presque trop transparent parfois sur ce qui s'est passé
là clairement ça paraît qu'il est assez obscur
il y a des choses par exemple qui me paraissent extrêmement douteuses sur la sécurité
notamment le fait que tu parlais du certificat SSL, pardon, la clé pour le certificat SSL
pour moi en terme de sécurité, c'est quelque chose de majeur, ça brise une grosse partie de la sécurité
pas même la sécurité complètement de SSL, si on se fait voler cette clé privée
ça donne vraiment pas confiance et effectivement Godaddy c'est quand même un acteur américain conséquent
on parle d'une boîte qui a plus de 5000 employés
ça effectivement n'aspire pas la confiance
encore une fois c'est pas parce que les acteurs sont gros
qui font forcément que la spécécurité est super bien traité
et c'est assez dommage
ça nous rappelle que aucun acteur n'est à l'abri de problème parce qu'il y a des gens
dans ces acteurs là même les gros et c'est les gens qui font des erreurs
et personne n'est infaillible, ça c'est les bons de le rappeler
ce qui m'étonne par contre c'est la manière dont Godaddy a communiqué
comme tu disais à Juan je serai à client je me poserai la question de savoir si je partirai
parce que mon fournisseur qui traite sa communication comme ça
moi je préfère un OVH qui plante et qui communique
ou même on sait ce que Scalway communique pas mal aussi sur leur problème
que Godaddy qui essaye de bon bah c'est leur faute c'est la leur
parce que du coup on tombe dans le travers du
si il communique comme ça est-ce qu'ils reconnaissent leur problème
est-ce qu'ils les améliorent, est-ce qu'ils sont dans le process d'amélioration continue
et ça se pose un souci c'est la reconnaissance de l'erreur
et le fait d'admettre qu'on a des problèmes
c'est vrai qu'avec cette communication on s'attend à se dire
bah ils sont juste coupés l'accès parce que pour eux c'était un problème d'accès
et mais alors que manifestement il y a des problèmes bien plus profonds
ouais c'est pas cool
la transparence c'est hyper important quand on a un service en ligne
et qu'on a des clients je trouve parce que c'est normal
que comme j'ai dit tout le monde fait des erreurs
donc tant qu'à faire autant être transparent
et tenir au courant ces clients c'est mieux que de cacher ça sous le tapis
enfin en tout cas en tant que client c'est comme ça que j'aimerais comme traite
et en tant que éditeur de ça c'est comme ça que je vais traiter mes clients
c'est en étant transparent avec eux
est-ce qu'on a encore quelque chose à dire sur Godaddy
ou est-ce qu'on passe aux petits outils
les outils, les outils
alors oui cher compagnon comme je te le disais en introduction
on a des outils et cette fois-ci on en a pas mal
parce qu'on en a chacun en fait
on en a chacun et puis René on en a encore plein
René notre fournisseur d'outils officiel chez Radio DevOps
alors René justement tu as nous parlé d'un petit outil
oui bah je pouvais pas m'empêcher de mentionner celui-là
je l'en ai déjà un tout petit peu parlé dans une précédente réactu
j'avais parlé de RIP grep et j'avais vaguement évoqué FD
donc FD en gros c'est son pendant
on va dire ça
il y a une grosse partie du fonctionnement qui est identique à RIP grep
donc dans la façon de traverser les répertoires de manière super efficace
en parallèle et en fait c'est un rappel à sang à fine
hyper efficace qui permet en termes de rapidité
de trouver un fichier sur le disque dur extrêmement vite
avec aussi un peu plus d'intelligence
il va pas par défaut il va pas chercher dans les fichiers
qu'on est censé ignorer dans un fichier point gate ignore
voilà donc un outil je pense qui est quand même assez connu
et mais que si c'est pas le cas je vous encourage à aller voir
après la seule petite difficulté en ce qui me concerne
c'est que fine je l'utilise depuis très longtemps et par contre la syntaxe
alors la syntaxe du fine d'origine est assez...
il n'est pas terrible en fait
du coup là ils ont cherché à l'améliorer mais c'est vrai qu'on a beaucoup l'habitude de fine
ça le rend il faut un peu se faire à fd
la syntaxe est plus simple mais bah parfois ça perture un petit peu
mais voilà super outil extrêmement efficace
tu vois moi je connaissais pas fd donc tu m'apprends ça
alors moi ça m'évoque deux choses la première c'est que
bah faut que je teste mais ça bon voilà
et la deuxième c'est faut faire attention quand on développe des scripts par exemple
je fais beaucoup de scripts bashes et ce genre d'outils qui sont très très bien
mais qui sont pas installés par défaut sur les distributions
faut faire attention parce que si on les met dans nos scripts et qui sont pas installés sur la distribution
et qu'on gère mal les erreurs et bah ça peut être un vrai problème pour le coup
donc faites attention quand vous utilisez ce genre d'outils
donc soit évitez de sortir des outils classiques qui sont dans toutes les distributions
soit testez la présence de vos outils en entrée de vos scripts
oui bonne pratique vérifier que les binaire sont là
non c'est quoi que ce soit et par contre ce qu'on peut dire c'est que
l'outil maintenant il commence à être assez connu et il est disponible en paquets
pour la plupart des distributions parce que parfois je présente des outils
ils sont encore, bah voilà font encore les rôles compilés etc mais voilà fd
repgrap maintenant c'est devenu quasi du standard ça
toutes les distributions à première vue embarquent ça avec un paquet
Tavuan tu veux agir sur fd ou on passe à ton outil ?
non oui je n'ai pas de choses à compléter par rapport à ce que vous avez dit
du coup moi je vais vous parler de l'outil que j'ai utilisé récemment
et qui m'a permis de gagner un peu de temps
qui est en fait un outil en ligne pour débugger vos config groc
donc ça va parler essentiellement à tous ceux qui font du loxtage
et qui ne peuvent pas, enfin qui sont obligés de parcer
les lignes de l'ug ou quoi que ce soit
ça peut être toujours un peu délicat de tester alors il y a plein de méthodes
mais là le truc qui est sympa c'est que directement dans votre navigateur
vous pouvez tester vos règles groc et voir directement la output
voir à quel point vous avez réussi à bien parcer ou non
et en plus comme ça supporte les mêmes confes que vous retrouvez dans le loxtage
avec des patterns que vous pouvez définir etc
en fait ça vous permet vraiment de tester en condition réelle
ce que vous allez faire avec groc
quand vous devez faire des trucs un peu tricky
et que ça vous soul de lancer votre loxtage en local
ou dans un conteneur ou quoi que ce soit
ça c'est très très pratique
et donc c'est disponible en ligne sur Heroku
voilà
moi je peux juste confirmer ce que tu dis
je me suis servi il n'y a pas très longtemps non plus
et ça porte vraiment une aide conséquente
pour valider les régulaires expressions
c'est un super outil qui fait gagner beaucoup de temps
moi je n'utilise pas loxtage mais je l'utilise loki
alors je me posais la question s'il existait à la même chose pour loki
je crois que non il va falloir que je parte à la recherche de ce genre d'outil pour loki
alors vous confirmez que ça ne fait pas les deux
non
bon ben tant pis alors
et ben Roney tu me sais trouver un autre petit outil
oui alors par contre je n'ai pas forcément
enfin je n'ai pas testé mais donc c'est une news qui vient de Linux Affaire
un outil qui s'appelle Squest et apparemment c'est un outil qui permet de faire assez facilement
un portail de service
et autrefois je me suis servi d'outil un petit peu équivalent
donc là c'est un outil open source
les outils que j'utilisais autrefois étaient propriétaires
et c'est vrai que c'est un besoin qui parfois apparaît dans les entreprises
de pouvoir me faire un portail avec des services pour qu'ils soient consommés par les utilisateurs de manière simple
et à première vue là c'est une application qui est développée en Python Django
et qui donc qui permet de créer un portail de service web
à destination des utilisateurs finaux
assez rapidement et de manière assez efficace
et l'autre aspect intéressant c'est que
en fait ça fait le portail mais voilà ça s'appuie aussi sur la couche à WX, Ansible à WX
et donc apparemment le portail va derrière lancer les playbooks
que l'on désire pour les différents services
voilà je pense que sans l'avoir testé de ce que j'en ai pu voir un petit peu les screenshots et tout ça
ça a l'air assez intéressant
et l'autre chose à noter c'est qu'à première vue c'est un outil qui est développé par YuletPaka
donc avec potentiellement peut-être des gens un petit peu financé pour essayer de faire vivre ces outils
voilà je pense que c'est intéressant et que c'est quelque chose à suivre et à aller voir
pour être bien sûr que j'ai compris
ça se base sur Ansible Tower donc à WX
pour mettre à disposition des services qui sont dans un catalogue de services
donc typiquement d'autres services que tu vas déployer sur des serveurs c'est ça ?
alors je vais peut-être le dire dans l'autre sens
c'est à dire je pense que si à partir du moment t'as développé un certain nombre de playbooks
pour faire un certain nombre de services, créer des VM, créer du stockage et tout ça
là assez facilement tu fais une interface graphique
un portail quoi pour aller les lancer et les faire consommer
avec potentiellement ça je suis pas sûr mais peut-être aussi une notion qui a droit de le faire pas de le faire
après l'outil je sais pas d'avancement vu que j'ai pas essayé
mais voilà ça peut imaginer que dans le futur ça gère par exemple les autorisations des utilisateurs
et puis derrière même avoir des notions peut-être qui a commandé quoi combien etc
et avoir peut-être du billing je sais je suis sur des hypothèses
j'ai pas essayé j'ai pas creusé assez mais peut-être que c'est l'objectif
et c'est vrai que ça peut être assez simple
en tout cas ça fait bien ce que tu dis sur les permissions
puisque l'administrateur peut valider visiblement les demandes de service
et donc éviter que quelqu'un lance des trucs, soit comme un bourrant, ou si il a pas le droit
et ben merci moi je vais pas vous parler d'un outil mais parce que vous avez entendu parler de la faille
logforge et logforche, je pense que tout Twitter, tout LinkedIn, tout le monde en a entendu parler
et du coup plutôt que de chambouler le programme d'actu DevOps parce qu'on avait déjà fait le programme quand c'est sorti
je vous ai trouvé un Now Asom, un Now Asom logforge, un dépôt GitHub qui regroupe beaucoup de ressources liées à cette faille de sécurité
et ce dépôt il est maintenu par SNIC Labs
donc vous pouvez aller le voir en description de ce podcast
juste un petit mot pour logforgie si vous voulez en parler deux secondes
Fuyer
je sais pas pour vous, moi je n'ai pas été spécialement impacté
donc j'ai juste vu beaucoup de clients qui s'inquiétaient si justement on utilisait
si on avait des services qui exposait des trucs avec du logforgie ou quoi que ce soit
du coup c'est là que tu vois que ce genre de faille a pris des proportions vraiment grandes
c'est que quand le lundi tu reçois une dizaine de mails de clients qui disent
« ah en fait est-ce que tu vois bien »
et toi Roder du coup
la première chose qu'on peut dire c'est qu'il faut pâcher
mais n'hésitez pas à pâcher logforgie
sachant qu'apparemment la critique de la faille c'est 10 sur 10 donc on est au top
et apparemment il y a, je pense qu'il va peut-être avoir plusieurs rambes
parce qu'il y a d'autres problèmes qui à première vue sortent encore
des doses etc donc voilà c'est, il va falloir probablement passer plusieurs fois des correctifs
et puis bah une petite pensée à tous les ops qui sont probablement dans des campagnes
pour faire du patch, on va les penser à eux
ça me permet de parler de quelque chose justement
peut-être qu'on fera un épisode de Radio DevOps là dessus c'est sur l'analyse statique de code
donc quand vous créez du code, que ce soit du code d'infrastructure ou du code d'applicatif
vous utilisez forcément des librairies ou autres
et il est de bon temps de mettre dans vos pipeline ce qu'on appelle de l'analyse statique de code
donc vous en avez plein, moi j'utilise TriVee pour scanner mes images de conteneurs
en plus ça scanne le code en dehors des images de conteneurs donc c'est très bien
donc petez en place ce genre de choses, si vous le faites tourner tous les jours
vous auriez vu popper le problème de Lockforgy ou Lockforshell
s'il avait été référencé dans les bases etc
donc c'est quand même pratique de mettre en place ce genre de choses
je sais pas si vous vous mettez en place des statiques de code
qui sont plugués avec des bases de données qui référent aux ECVE justement
Déjà sans faire beaucoup d'efforts, il faut être sur GitHub
mais t'as leur système avec le Dependabot qui analyse tout un tas de tes dépendances
dans tes projets pour te dire attention ça il faut mettre à jour parce qu'il y a tel CVE
ou quoi que ce soit, donc ça c'est un truc qui est clairement pas cher
et qui te permet de, et en plus il te fait même la pull request
donc ça veut dire que quand t'as la CIA qui va bien
tu sais si en plus ça passe tes tests
donc si ça passe tes tests tu peux être en mode nobraïne et émergé
donc ça c'est pas cher mais moi après pour les conteneurs
j'utilise Claire qui alors c'est bien mais pas top comme dit un autre
ça permet quand même de désamorcer pas mal de choses
et en tout cas de savoir je sais pas par exemple si vous avez une image
qui se bat sur du débit de savoir que vous avez une faille sur tel package
et après vous pouvez regarder, ça vous donne le lien en plus
qui va bien et qui vous permet de savoir si par exemple upstream ça a été fixé
quoi que ce soit, et toi on est ?
Ouais bah je pense qu'on en avait déjà parlé après bah que ce soit clair au TriVee
ça peut être utilisé comme plugin par exemple de hardware
pour des gens qui font du on-primary c'est qu'au hardware c'est un repository
donc je sais que j'ai un client qui utilise ça
et donc ça permet de s'installer assez facilement et dès qu'on pousse une image dans le repo
bah les scanner, bon après il faut faire des remédiations qui vont bien
voilà donc oui oui c'est aujourd'hui c'est vraiment important d'avoir ce système là
et voilà puis après on peut aller un peu plus loin
enfin nous aussi ce qu'on met pas mal c'est du sonar par contre là c'est vraiment de l'analyse statique de code
où ça va chercher et on est plus sur un comment dire
une analyse CVE, est-ce que j'ai telle dépendance dans
voilà là ça va plus fin, ça regarde carrément le code
et s'il y a des mauvaises pratiques etc, des cosmals, des choses comme ça
et souvent on coupe ces deux outils là
Ouais fait c'est plutôt du code coverage ou genre de choses
et je pense qu'on en parlera aussi qui sont assez proches tous les deux
bah justement Né tu vas nous parler d'un autre petit outil et je crois que ce sera le dernier pour cet épisode
Ouais alors c'est pas tout à fait un outil c'est plutôt une liste un petit peu comme le lien te l'a proposé juste avant
c'est euh... je vais juste me rappeler
voilà c'est une page qui s'appelle Use a full sed donc sed c'est quand même un outil
qui est des fois un petit peu, enfin que les gens connaissent pas toujours bien
et qui a une syntaxe un peu rude et en fait c'est une page qui explique un peu comment ça fonctionne
et qui donne pas mal d'exemples des one liner qu'on peut ensuite retravailler pour faire...
pour faire... voilà l'adapter à son cas d'usage pour rappel sed en fait c'est stream editor
donc ça permet par exemple de modifier à la... en stream
qu'à la voler entre guillemets affichier, changer des chaînes de caractère dedans
effacer une ligne, ajouter une ligne à tel endroit
récupérer qu'un blog du texte, enfin voilà il y a plein plein de possibilités
c'est un outil qui est très efficace mais voilà toujours un peu des fois la syntaxe est un petit peu difficile
on peut aussi faire des scripts en sels en fait pour enchaîner plusieurs commandes
on peut faire des choses pas forcément qu'un one liner ça peut devenir assez complexe
mais encore une fois voilà avec une certaine difficulté de prise en main
et bah cette page résume un peu tout ça et voilà si vous ne connaissez pas
ou si vous avez besoin des fois d'un petit ennemi ou pour se rappeler comment...
pour se rappeler un petit peu de les commandes et comment ça fonctionne
bah j'ai trouvé pas mal
sed fait partie... je le plus sois
je disais sed fait partie avec auq de ces...
de ces outils sur linux et sur unix aussi parce que c'est sur unix
même si on entend moins parler d'unix aujourd'hui que quand j'ai commencé
et bon ça fait partie de ces outils essentiels quand on crée des shell scripts
parce que ça manipule en effet les fichiers, les sorties standards
puisque tu peux manipuler tes sorties standards et faire autre chose avec
quand tu fais pas un langage de programmation évolué c'est super efficace
et donc je me replongerai avec plaisir dans ce...
enfin dans ce dépôt là
et bah si Erwan tu ne rebondis pas
on va clôturer alors
clôturer
alors pour clôturer
si l'épisode t'a plu et que tu veux venir discuter avec nous
tu peux nous rejoindre dans la communauté des compagnons d'idevops
tu peux t'inscrire, il y a un lien en description, il suffit de le chercher un petit peu
il est un petit peu caché
et tu peux t'inscrire, tu pourras discuter avec nous, avec tous les autres podcasteurs
et même plein d'autres gens parce qu'on est près de mille maintenant
une belle communauté quand même qui s'intéresse aux devops
et pour le coup je vais vous laisser à tous les deux le mot de la fin
alors René, quel est ton mot de la fin ?
alors je vais faire un mot de la fin peut-être un tout petit peu long
juste pour dire que le précédent épisode il y a eu des gens
qui ont un petit peu réagi justement sur le forum
pour rajouter des commentaires
et voilà moi j'ai trouvé ça assez sympa
et je peux qu'on encourageait à le faire
et aussi un truc qui peut être sympa c'est nous donner un petit peu du feedback
savoir ce qu'il plaît et ce qu'il plaît pas
moi je serai assez intéressant pour savoir
et voilà si commentes de la fin
c'est vous encourager à faire ça
et puis encore une fois que vous avez apprécié l'épisode
et ne pas hésitez à nous le dire
et voilà ce sera tout pour moi je passe la main à Juan
et ben moi le mot de la fin ce sera
Dinosaur
Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres par Sous-titres