Bonjour et bienvenue dans ce nouvel épisode de Messages à caractère informatique.
Episode numéro 104.
Nous sommes les 100 avril de 2024 et aujourd'hui, je suis accompagné de Yann Merveilleux
tel que Sébastien Blan, Koukou, Salut, et estimez-le, salut !
Bonjour !
Bienvenue !
Je suis Yannick Lager, et je suis de Vinyalaxane, moi même, Horacio Gonzales.
Dans cet épisode, on va parler surtout de l'open source, on va parler de l'issence
open source avec le feuilleton redis, de la sécurité open source avec le feuille exéduti.
On va parler de petits projets open source en paque comme les proyères ratatouille que Yannick va nous parler.
On va parler aussi un peu de nouveau temps, il y a un peu de temps que Seville nous parlera.
Bref, un épisode orienté open source, et je crois que avant de commencer on peut...
Bah, présentez-nous en terminant, on va commencer par Sébastien, Sébastien, qui est-il ?
Qui je suis ? Sébastien Blan, né le...
Non, je suis...
Alors moi je suis développeur advocate, c'est-à-dire que mon rôle c'est de rendre les développeurs heureux.
Et je travaille pour Ivan, une société qui fait de la data infrastructure manager.
Voilà pour moi, et j'habite dans le sud de la France.
Personne n'est parfait.
Voilà.
Steven, qui tu es ?
Stéphane Le Roup, moi je suis une autor technique à cléveur, donc je m'occupe de l'équipe d'ingénierie.
Je prends les ingénieurs heureux, j'essaie.
Nickel, c'est une bonne définition, et Rennes laisse un gagnant heureux.
Je m'aime bien ça.
Yannick, et toi, qui tu es ?
Et donc moi Yannick, ça fait deux ans que je suis à cléveur, et je suis payé pour développer du rust.
Donc je suis un développeur heureux, grâce à un site heureux.
C'est formidable.
C'est très beau.
Et moi c'est Horace Gonzales, espagnol perdu en Bretagne, qui après être vagabondé dans les nuages,
il est fini par atterrir dans son nuage antéligante.
Et donc, je suis maintenant VP de frêle de cléveur cloud.
Bon, on a un bel liste de sujets à parler aujourd'hui, donc si on ne veut pas que l'épisode dure de serre, on pourrait commencer.
Et pour commencer, on a tous un peu été surpris, interloqué.
On a suivi avec attention ce qui s'est passé ces dernières semaines autour de Redis et les changements de licence.
C'est qu'effectivement, Redis a annoncé son changement de licence en étant double licencié.
Ils sont licenciés à SSPL et à Redis Source Abailable License,
qui est un modèle qui suit un peu Mongo et autres sur le marché.
Par contre, ce qu'on va voir ensemble, c'est que ce qu'avait peut-être pas anticipé Redis à la différence d'élastique et de Mongo,
c'était des boîtes qui avaient employé les contributeurs dans le temps.
Elles étaient major contributeurs, contributrices de ces projets-là,
et à la différence de Redis, l'entreprise,
et qui, on verra dans les articles qu'on mentionne,
est assez contributeur mineur.
Il n'y a pas de mauvais bon chasseur, il n'y a pas de contributeur mineur entre guillemets.
Mais quand même, au regard d'autres contributeurs qui peut y avoir,
tu te demandes même la légitimité qu'ils ont sur le projet.
Ils ont fait ce choix-là,
sauf que les autres mainteneurs qui étaient dans d'autres boîtes,
se sont mis entre eux et se sont dit, c'est quoi le délire ?
Je crois qu'ils représentent moins de 30% en final Redis des contributeurs.
Ça veut dire que quand les autres se parlent, ils sont plus majoritaires,
et même en termes de mainteneur de code, etc.
Ils ont fait ce choix-là, et ils se sont pris un retour de bâton,
parce que les autres ont dit non.
Donc ça a forké, il y a eu 2, 3, 4 forques avant qu'il y ait une maison un peu plus pérenne
avec une fondation pour héberger une suite au projet.
Je pense que quelqu'un veut évoquer différents forques.
Oui, avant les forques, je voudrais revenir sur ce que je vous ai dit,
parce que je sais que dans cette histoire,
Redis, l'entreprise qui avance, redislave, et qui avance,
et qui a encore un autre nom,
n'est pas de toi, le riz, de projet Redis.
Et ça, je l'avais presque oublié quand les foyers tont les sorties,
et je l'avais redis, et il y avait un contributeur principal,
et plein d'autres personnes qui ont commencé à contribuer.
Et la boîte que aujourd'hui c'est Redis, c'est une boîte qui vendait
des services autour de Redis,
que de 1000 cas, si je décidais de s'appeler Redislave,
parce que s'appeler Redis, tu cours, ça semblait gonflé à l'époque,
et que en 2020, je crois, et la nouvelle année de nom pour devenir Redis,
mais c'était pas que les projets étaient leur bébé,
ni qu'ils se payaient pour le développement de projets,
on n'est pas de tout à l'aimé,
mais qu'on peut être en élastique,
qui est créé quand même par les initiateurs de projets
ou à MongoDB, c'est un cas qui pour moi, c'est assez inédit
dans ces panoramas des chancements de licence.
Eh bien, élastique, globalement,
ça a été créé par chez Banone, qui est fondateur d'élastique, à la base.
Le fondateur de Redis, c'est anti-raise,
il n'avait rien à voir avec la boîte Redis ou Redislave,
voir même... alors non, il était pas employé.
Il avait ses boîtes en Italie, etc.
Il s'est même opposé,
parce que dans l'histoire du truc,
Redis, qui s'appelait Gargantua,
ou un truc du genre, Gargantia,
Garantia, je crois.
Elle s'est appelée RedisDB,
et là, en tirée, elle a dit,
non, vous n'êtes pas RedisDB,
et donc, en fait, il les a un peu refraînés
dans ce renommage,
et du coup, les autres ont adopté Redis Labs, à ce moment-là.
À ce moment-là, effectivement, en tirée,
elle les a rejoints, c'est un moment
où il a voulu un peu passer le relais
sur l'aspect maintenance de Redis,
à la communauté, mais dans son blog post,
je me rappelle de l'époque, il le dit bien,
il dit bien, il appelle ça,
l'affin de l'histoire de Redis,
mais pour la sienne, en fait,
the end of Redis, je puis quoi,
aventure, et donc, en fait,
il l'évoque comme ça, et en disant,
voilà, moi, c'est l'affin pour moi,
je laisse le projet à la communauté,
et je vais faire Troubillon,
Inspirationnel, dans Redis Labs.
À la communauté, c'était bien dit.
À la communauté, et en 2018,
il a reprécisé, Redis sera toujours BSD,
etc. Il y a un moment donné,
Redis Labs a également reprécisé ça,
reporté ce discours-là,
sauf que, comment tu lutes
efficacement contre des visis
qui ont mis des billes dans ta boîte,
et c'est pas évident,
et donc aujourd'hui, ils changent de position.
Alors, est-ce que c'est une mauvaise nouvelle
pour Redis en soi ?
Je suis pas si sûr non plus,
je pense qu'ils vont perdre le leadership
sur le projet Open Source,
ce qui est pas très grave en soi.
Il y a une réalité,
c'est qu'il y a ce qu'on perçoit
en tant que développeur, ingénieur,
et sur un aspect Open Source,
et l'aspect communautaire des choses,
mais il y a le concret de comment
tu fais de l'argent vraiment.
Il y a le business, et en fait,
les boîtes qui ont vraiment besoin
de support et qui payent,
c'est pas tant des fois le côté Open Source,
c'est le côté solution.
Après, des fois,
c'est bien d'avoir une sécurité Open Source,
mais là, l'effort, c'est-à-dire, ils sont juste compatibles.
Donc, tu as toujours cette possibilité de réversibilité.
Même si tu es Redis, et par ailleurs,
tu as toujours les sources, c'est juste qu'elles sont limitantes
d'un point de vue licence,
mais tu as toujours les sources.
Est-ce que c'est un gros problème ?
Je ne sais pas, d'autant que là, ils viennent de faire
l'acquisition d'une boîte
qui fournit un moteur alternatif
plus performant
sur l'embarquer en mémoire,
en alternative à ROXDB.
Donc,
je me dis, pour les boîtes,
qui ont des vrais enjeux
de performance, de support
et qui payent, Redis, pour ça,
pas sûr que, tu vois,
ça leur pose trop de problèmes.
Et ça peut avoir de l'impact sur les boîtes
qui, eux, offraient du Redis manager ?
Et cette boîte-là,
effectivement,
on se retrouve maintenant avec plein de forks
différents.
Ouais, des forks, ou,
parce que c'est intéressant, il y a des forks au moment de l'annonce,
mais avant le fork, il y avait aussi
des boîtes,
enfin, des projets qui ont réimplémenté
From scratch, le protocole Redis.
Je le mentionne, parce que nous,
on l'offre chez Ivan,
c'est marrant.
On a annoncé, donc ça s'appelle
Dragonfly DB,
qui réimpliement tout le protocole Redis,
qui se dit 25 fois plus
rapide, ou 720%
d'utilisation en mémoire en moins,

Qui est en mémoire, qui est en licence
duale aussi, donc c'est la même licence.
Mais nous, on a payé
une licence commerciale à eux, et on l'offre,
et le lendemain, Redis
annonce le changement de licence.
Donc c'était, je ne sais pas si c'est une coïncidence,
ou si c'est les VSE qui s'amusent entre eux,
mais c'était...
Il faut se dire
qu'ils ne sont pas si réactifs que ça,
dans ces boîtes-là, donc c'est des trucs
qui sont prévus longtemps en avance.
Mais c'est tout là de réimplementer le protocole Redis,
ça me donne presque envie
de spoiler quelque chose.
Je ne vais pas le faire, mais si vous voyez
la tête de Yannick...
Attends un peu, par contre
tu évoques Dragonfly, et effectivement
moi, à un moment donné, dans ce truc-là, je me suis dit, ah,
mais en fait, entre eux, Dragonfly,
tu as KiddyBee également,
tu avais déjà des forcs historiques
qui avaient fait un peu bouger Redis
pour être multisrédé, pour offrir d'autres choses.
Notamment, tu avais Redis on Flash,
qui était un truc qu'UntarPrize
à l'époque de Redis et tu as d'autres projets qui se t'en disent,
non, mais c'est un peu con,
nous on va l'intégrer dans le projet Open Source de base.
Et je me t'ai dit, ok, peut-être que la communauté
va dire, bon, bah, maintenant on re-shift
vers ces projets-là.
Et non, se sont dit, bah en fait, on va forquer
l'existent et faire une continuité
sur le projet historique.
Du coup, je me dis,
bah, au final,
je trouve que Redis, c'était un peu perdu
dans les dernières années à faire un peu fourre-tout,
tu sais, à faire de la time-series,
à faire du document,
à la fin, les gens, sur Redis, ils font du cavez,
tu vois, donc...
Là, je trouve que c'est un peu
toujours pareil, c'est que tu dois cocher
les cases et
je trouve que c'est toujours le problème
des gens qui veulent te faire du marketing
ou du branding
technologique bradé
en mode technologique grand public,
en CES, tu vois, n'consumeur
truc.
Mais non, en fait, il y a un moment,
il faut qu'on comprenne que, dans notre monde,
il y a des notions technologiques
et que c'est bien, en fait,
et qu'il faut capitaliser sur la technologie,
qu'il faut la comprendre, il faut que les DC
et les CTO des boîtes
se disent qu'ils doivent comprendre
leurs propres enjeux pour savoir
quoi aller chercher sur le marché
pour traduire leurs besoins.
Et c'est pas en faisant un peu le petit
dénominateur commun de tout ça, que
tu dis, bon, je prends ce truc là, le logo
a l'air joli, donc je l'achète, quoi. Le côté
hype-driven, tu vois,
du marché, c'est un truc qui est assez
pénible.
Et ça amène, en fait, l'industrie
au global à être très médiocre.
Mais disons que quand ces types
de décisions sont inspirés
pour une logique
de profils court-termes
ou espoir de profils court-termes
de faire ton produit
qui attire plus
étit éloigné de ce qui est
ton coeur de produit, effectivement,
c'est toujours bizarre.
Mais dans ce cas-là, en particulier
de redist, en plus de ces côtés-là
il y a le fait
de créter
comme ça l'effort
de contributaires depuis plus de cancins
qui ont décidé de jouer
le jeu de l'endemain, ou de
faire la licence de
contributaires qui étaient
qui travaillaient pour
des cloud providers qui étaient payés
pour ces cloud providers,
il se trouve que tout se travaille
là, il ne peut plus l'utiliser
parce que les liens
de licence ne sont pas
les plus bas.
Moi c'était surtout d'avoir la
sidération de que la boîte
pouvait faire comme ça
de jouer le jeu de l'endemain, son grand produit
qu'elle n'a pas créé.
Et après, la rivée de...
parce que quand j'ai dit
il y avait de réamplementation de redist
à Dura Tagos, mais la rivée de fork
de pure fork
qui s'y est rapidement comme redict
ou valkyre,
le fait que ces fork-là
sont pris de l'attraction, ils sont pris
les mantainers
et de gros contributaires
de redist
en très peu de temps
ça veut dire que pour moi
la communauté a réagi
de façon extrêmement
rapide
donc on ne sait pas
parce que le projet leur appartenait pas
en fait
et quelque part ils ont
volé le projet
ils se sont apparaît le truc
et ils se sont dit ok, on change de licence
et en vrai, ce que je comprends pas trop
dans l'histoire quand même
c'est quel droit ils ont de le faire
parce que...
c'est ça
c'est quand les créateurs
la boîte redist
la boîte redist c'est les manteneurs
les manteneurs
les mantainers c'est des salariés
des redist
c'est pas la même chose
c'est pas parce que t'es d'un tiers que t'as le droit de changer de licence sur du code
qui t'appartient pas forcément
je devrais dire
mais t'as la possibilité de changer de licence
si t'es le mainteneur
si tous les mainteneurs sont d'accord entre eux
c'est pas que
une question de licence c'est aussi une question de copyright
et là, faut que j'aille voir
mais je sais pas
la GSD il n'y a pas de copyright
c'est pour ça, BSD c'était un cas particulier
c'est justement un type de licence
qui permet cet type
de comportement
mais aussi qui a permis que les forcs sortent
à toute vitesse donc quelque part
et dans les forcs c'est très courrier
parce qu'on voit Redict
on voit Valky
et si on crée un petit peu
on voit qu'ils collaborent ensemble
parce qu'ils sont
des scopes ou des points de vue
les germans différents
selon ce que j'ai vu de la différence
communiquée qu'ils sont faits chacun
Redict, il cherche plutôt la
stabilité
faire un truc pour
de long terme
introduire
les innovations petit à petit
que soient complètement compatibles
avec Redict
et pour une utilisation
plus enterprise
que Valky à la vocation
selon ce que j'ai vu
d'accueillir la désinnovation
qui était plus ou moins inattente
que les contributaires avaient poussé
mais ça n'avait pas été accepté
en gros, d'évoluer
un peu plus rapidement
et d'ailleurs dans le dernier poste
de Redict qui vous sortait là
il dit que vous récupérez
à fur et à mesure
certaines désinnovations de Valky
à un autre rythme
donc quelque part c'est comme si
c'est de proyé
que vous allez mander la main
avec des scopes et de
cette utilisation différente
Mais qui derrière Redict ?
Je suis en train de voir le site
ils sont sponsorisés et il y a une fondation derrière
Non
Non justement Valky maintenant
c'est de la
l'allume, c'est pour ça que je demande
à Redict
parce que Valky c'est celui qui a fait
enfin dans ma bulla moi
c'est celui qui a fait le plus de bruit
après
le premier à avoir dégainé
c'était Redict
mais c'est vrai qu'il y a un petit côté
One Man Project
c'est un regard un peu tout seul
il faut forquer, je réagis vite
alors il est allé vite
sauf qu'il est allé moins loin
donc les autres se sont organisés en passant
par un côté fondation
avec différents mainteneurs
donc en se synchronisant
ça a pris quelques jours de plus
sauf qu'ils arrivent avec une fondation
un autre projet, ils sont tous
d'accord derrière
et puis aujourd'hui
je trouve que Redict est un peu isolé
ils ont pris un côté licence
qui fait que
c'est un peu comme l'élastique
Redict a tiré d'un côté
et eux ils sont allés de l'autre côté
avec la LGPL
on va du coup
refroidir aussi certaines boîtes
donc ça va rester
effectivement un projet très open source
mais très
communautaire
et il va peut-être pas avoir l'élan
et la dynamique qui peut y avoir
avec les boîtes qui peuvent contribuer dessus
parce que
Linux Foundation
c'est cool mais ça veut dire que derrière
il va y avoir AWS, tous les gros
tous leurs contre-miteurs
ça veut dire aussi
que c'est un sacré panier de crabe politique
mais
sur Valquis
on a
plusieurs de plus gros contributaires
de Redict les cinq dernières années
donc quelque part
et qu'on sait, c'était déjà AWS
et d'autres boîtes
qui ont employé ces personnes
oui voilà ils ont leurs équipes
déjà ça va juste un switch peut-être
pour certains équipes
il y avait un japonais
aussi
c'est une boîte qui, tu peux même pas y accéder
depuis la France
quand tu essayes de d'y accéder
on te dit vous n'avez pas le droit d'y accéder
depuis l'Europe
mais il y a un japonais qui faisait énormément
de comites dans Redict
sur un des articles qu'on partage
là, lwnet
notamment tu as un tableau
qui fait la synthèse des contributions
et globalement tu as à peu près 34%
de gens qui n'ont
n'a filier, non identifié
mais qui peuvent appartenir
à des organisations sous-jacentes
tu as Tencent qui est le premier contributeur
à quasiment 25%
le deuxième c'est Redis un peu moins de 20%
et du coup tu dis ben
Tencent donc quasiment plus
le leur mot à dire sur le sujet
Alibaba
ensuite qui est
6,7%
Huawei il y a 5%
Amazon 5%
Bydance c'est TikTok
2%
NetEase 1% et après il n'y a pas le détail
mais au final Redis
identifié Redis
a tout cassé à 20%
des contributions
dans les 35%
tu peux t'attendre à voir
et potentiellement en tâche
maintenant
d'aller merger les contributions de l'un de l'autre
faire du corps
faire le machin
et Valky
moi j'étais très naïf j'avais même pas
capté le jeu de moi
Valky
Valky
après il veulent
faire passer Valkyrie
Valkyrie on sait bien que c'est pas Valkyrie
mais ta casquette
à l'envers et fait du verlan
wouah tu es au valky
Valky
oh tu es au valkyre
bon y a un truc qu'on n'a pas évoqué
quand même dans l'histoire
c'est que
Redis ils sont
encore une fois
il n'y a pas de problème
je trouve avec les cloud provider
si les éditeurs sont pas débiles
c'est à dire que si t'es capable
de faire du revenue sharing et d'intégrer
tes conditions d'avoir
une solution open source que tu peux distribuer
avec le partenariat
avec la société qui est derrière
et en ayant cette logique
d'avoir la valeur ajoutée
le support intégré via la licence etc
nous c'est ce qu'on fait
avec Elastic par exemple
ça marche très bien
c'est ce qu'on fait pas avec Mongo parce que
ce sont des cons
je suis désolé de dire la vulgarité
mais Redis pareil
ils ont pris comme postulat
de dire on vous vend
100 000 licences et aller les vendre
nous on fait pas ça
parce que déjà c'est du coup up front
on a peut-être pas envie de payer tes licences up front
alors que c'est toi qui fait le marketing
du produit etc
et que moi je préfère qu'on ait une relation commerciale
pour aller faire des choses ensemble et porter le risque
à deux parce que si demain tu fais
de la merde sur ta stratégie produit
moi je t'ai acheté la licence que je peux plus vendre
là l'exemple est parfait
si on avait acheté 100 000 licences Redis
et qu'ils se devaient changer de licence
et on aurait fait genre
ah bah
bah on fait quoi ?
maintenant c'est Valkyre
donc je pense que
Sébastien de votre côté c'est un peu le même topo
et je trouve que
tu vois c'est très différent
Elastic on arrive à bosser avec eux
et donc c'est très bien
et nous on fait de la solution Elastic Enterprise
tout inclus
et on fait du revenue sharing avec la boîte qui est derrière
on est très partisan de ce modèle là
parce qu'effectivement
tu fais vivre les éditeurs
et c'est un modèle sain
pas comme le modèle cloud historique Amazon
où tu prends tout gratôt c'est effectivement tu les revends
et on n'est pas
partisans de ça parce que
il faut faire vivre les éditeurs
et c'est normal
par contre les éditeurs qui effectivement
ont une posture de dire je te vends
upfront des licences
et moi j'ai signé mon année etc
bah on peut pas bosser avec eux donc ils se mettent eux-mêmes
dans cette situation là
oui on a le même problème et on sait que ça va arriver
sur d'autres
chez nous on a
du click house aussi
et on sait qu'à un moment donné click house
ils vont faire la même chose ils vont
changer leur licence
alors click house
ce sera peut-être plus compliqué de faire
d'efforts
qu'il y a
un projet chinois
pour ceux qui savent pas
ce que c'est
un click house
click house
c'est un colon store
qui permet de gérer des données
pseudo structurées
et d'avoir une interface
SQL pour
les requêter
et pourquoi ça serait plus compliqué
de faire un fork
qui t'allongait les détails
alors moi je n'ai pas
de détails, d'infos, de trucs
juste ce que j'ai observé
et à un moment donné il y avait un chinois qui avait fait un projet
qui était tensorbase
qui était un truc compatible click house
en drop replacement mais basé
sur tout un plémentaire rust avec du haro
dans des trucs où je mettais
ça part bien ce projet là c'est bien
et puis le mec est un peu énervé
et à un moment donné il a tout arrêté
il a mis un petit edit dans le rythm
disons désolé
je vais élever des chèvres
je vais pas faire de mal à la communauté click house
je me retire de tout projet data
je vais faire click house salut
donc je dis pas qu'il y a pas
2-3 russes qui sont faits
qui ont été bien dénus
un projet rythm
il faut le préciser
tu n'es d'autre toi
tu ne nous chante ouille pas
n'est ce pas
il y a un chinois qui est arrivé chez lui
je sais pas
il s'est passé en tout cas il a pris peur
mais magistralement il a fait genre
plus jamais je touche à ça désolé je voulais pas vous faire de mal salut
n'oubliez moi
jamais
la licence fsb
c'est ça
et donc
je me disais est ce que quelqu'un
va prendre le projet le fort le continuer
mais non
donc
ouais je sais pas
peut-être que ça pourra arriver
après je sais pas tu vois
regarde à chicorps ce que ça donne
redis que ça donne
click house
donc on vous met quelques articles sur redis
il y a des articles
qui en plus retracent un peu l'histoire
du projet
de la création
de comment ça s'est fait
et ouais
moi le sentiment que j'ai derrière c'est que
j'ai du mal à être triste pour redis
parce que je vois beaucoup plus ça
comme une société opportuniste qui s'est un peu
à capare
les droits du projet
plus que
une société un peu comme elastic par exemple
ou tu as le fondateur, le truc, ils recrutent
leurs contributeurs, ils ont créé un écosystème
là
pas tant que ça
ça me fait un peu niche au niffrois
je me dis bah ok c'est forqué
mais de toute façon vous ne méritez pas forcément
non plus
dans vos valeurs, dans tout ça
donc bon
c'est une belle conclusion
c'est parti là, les valeurs autour de l'open source
et la contribution
parlant de valeurs ou de manques
de valeurs autour de l'open source
ça nous permet d'introduire les souliers suivantes
un petit
file qui aurait pu être
catastrophique
c'est tant par les apocalypses
qui étaient évitées
de la justice, c'est
autour d'un petit utilitaire
xc.dutils
et bon bah, Kianic
tu nous fais la résumé
pour celui qui on passait à côté
de l'histoire ?

en gros, une personne qui n'est pas du tout
chercheur en cyber sécurité
a découvert que
il y avait 500 mini secondes
entre 2 versions
de SSH
et comprenait pas ce qui se passait
du coup il a commencé
à creuser
creuser
creuser
et il est descendu
mais d'une profondeur
c'est infernal
parce que il y a des couches
sur des couches
et vous pouvez expliquer un petit peu
ce qui s'est passé
c'était SSH
utilise
en libre dynamique
une autre libre qui est libre LZLMA
c'est dur à prononcer
qui vient
du projet XZ
Utils
et qui est venu
injecter un bout de code
dans le fonctionnement
de SSH
et en fait cette
injection de code
avait pour
conséquence
de venir
non pas
faire du déchiffrement
comme ce que devait
faire SSH
avec des clés qui venaient de l'utilisateur
machin vidéo
mais en utilisant une clé
d'un pirate
ça veut dire
que lorsque le pirate
se connectait
à une machine infectée
il pouvait
se connecter à la machine
donc ça faisait un truc comme si c'est pas rien
mais en fait
cette file
permettait de pouvoir lancer
n'importe quelle commande
sur la machine de l'utilisateur
n'importe quelle commande
en route
parce que SSH est un programme qui fonctionne
en route
à partir de là il avait le contrôle total
de la machine
juste parce qu'on avait
une version de SSH
qui utilisait une version
spécifique de la libre LZM
c'est absolument
catastrophique parce que ce truc
là était présent dans
les dépos
seed de débiens
ça veut dire unstable pour
les distraux débiens
et ils allaient le faire passer
en version stable
à partir du moment où
ce truc là partait dans la nature
l'intégralité de
toutes les distribs qui utilisent
du DPKG donc les Ubuntu, Linux Mint
et Concert
elle est récupérée
cette libre
pour venir l'allié
à SSH
après il y a des contraintes
c'est qu'il faut que
le SSH soit
utilisé par SystemD
pour pouvoir
pour que la faille puisse fonctionner
mais comme SystemD est
largement répandue
et installé par défaut
ce comportement
il se serait retrouvé dans
plein de machines
et à partir du moment où
le Pirate connaissait
l'IP de la machine qui voulait attaquer
il était route sur la machine
c'est la partie technique
la partie Cluedo
et la purigolote
ça c'est la partie géniale
ouais c'est
ouais vas-y
je sais mieux comment je pense
sous débuts par
un compte
qui est venu
faire
de la pression psychologique
sur le mainteneur
du projet IHC
le mainteneur original
il n'a pas arrêté de le dire
bah là ça serait mieux qu'il y ait plus
de contributeurs
il faudrait déléguer la maintenance
il faudrait machin machin machin
un autre utilisateur est rentré
en 2022 dans le projet
XZ
son pseudo c'est JIA T75
qui a une adresse
qui est chinoise
je vais vous creuser un peu plus
et
cette personne-là
a fait des contributions
depuis
2022 dans le projet
et les a fait de manière propre
c'est-à-dire qu'il s'est fait passer
pour un vrai mainteneur
et il a fait tout ce qu'il avait
à faire pendant cette durée là
sauf que de
à un moment
il y a un commit
qui a été rajouté
enfin deux commits qui ont été rajoutés
un commit qui a été rajouté
des chichiers
de test
et dans ces chichiers de test
bah en fait c'était carrément un binaire
qu'il y avait dedans
c'était un chichier
compressé parce que
XZ c'est un utilitaire
pour décompresser
des trucs
et donc lui il a fait passer ça pour
ce qu'on appelle des features
donc des chichiers qui permettent de vérifier
le fonctionnement d'un système
normalement on fait pas ça, on ne commit jamais
de binaire dans un kit, c'est une très mauvaise pratique
parce que ça rend totalement
non-auditable le code
mais là ce qui s'est passé c'est que vu qu'il était
mainteneur du projet
parce que l'autre il allait se t'être down
parce qu'il avait dû
avoir d'autres pressions psychologiques
donc il n'y avait plus personne qui vérifiait
ce qui peut rentrer sur le projet
il a intégré ces 2 chichiers
binaire dans la codebase
ce qui s'est passé
c'est que
des bien-seed
en fait ils font des back-ports
des modifications des projets
pour venir faire du packaging
et là on rentre
dans le labyrinthe infini
c'est que
lorsque on télécharge les sources
et qu'on compile soi-même, on n'a pas la faille
le seul moyen
d'avoir la faille c'est
d'être dans le mode de fonctionnement
du packaging de débiens
c'est à ce moment-là
qu'on vient intégrer ce qu'il y a besoin d'intégrer
pour que lorsque la personne
va faire un apt install
de la libre
il va se passer des trucs
qui va venir modifier
un bout de code
dans ce qui va être
compilé
à la fin
qui va venir intégrer la faille
et pour tout ça
il y a un lien
qui sera filé où il y a une personne
qui a fait le rétro-engineering
des différentes étapes
de la faille
il y a des couches dans des couches
qui ramènent récursivement sur d'autres couches
il y a vraiment énormément
de techniques
à la fois de social engineering
et de techniques pure
qui ont été rajoutées
c'est pour ça qu'il y a des suspicions
que la personne ne doit pas être toute seule
il y a des suspicions que ça ne soit pas forcément
une personne
que ça soit une entité
peut-être gouvernementaire
il y a un article de Wired
dans lequel il crée plus contre la
parce qu'il y a une opération comme ça
parce que
il faut penser que ça a duré des années
les plus en dessous de la filtration
il y a un peu de pression psychologique
mais elle était très subtile
il a vraiment un coup écompatisé
il était un contributeur
ils ont pris la confiance
il a été committeur
sur le projet
mais je pense qu'il a fait ça
de manière très subtile
une pression psychologique subtile
j'ai découvert un truc très rigolo aussi
toute la faille de sécurité
se basait sur un nom chichier
à un moment il y a un contributeur
il a eu l'idée de
renommer le chichier
et je pense que ce truc là
il a du delay l'attaque
parce qu'ils ont dû revoir leur manière de faire
parce que le chichier qu'ils attendaient
il était plus là
mais c'est génial comme histoire
et là je viens juste de chercher un tweet
alors le mec il a découvert
tu parles des 500 000 secondes
en fait ça il a redécouvert
même après au début il a vu
juste une surcharge de CPU
et sans analysant ça
qu'il a vu le délai de 500 000 secondes
et qu'après il a dit
j'ai besoin de le voir
mais ouais
moi je pense que c'est la question qui fâche
est-ce que vous pensez que c'est le seul projet
je vais dire
quand on est passé aussi
proche de la catastrophe
est-ce qu'on a eu
énormément de chances collectivement
et c'était le premier récit
de ce type d'attaque
qui se faisait
ou il y a éventuellement
d'autres dans la nature
ce qui est érichant
ce qui est érichant c'est que
Gia TI-75
il est aussi contributeur dans VNC
c'est pas la première fois qu'on voit ça
des contributions
on va dire
mais aussi élaboré
sticky
ça rouille
il y avait sorti
dans la plupart des mannequins

formaient ces exacersements
ilsific sneaky
c'est incroyable

à la famille
bolard
il n'y a pas un groupe
dans cette opposition
ça le fonctionne
de la vraie engineering pendant des années pour arriver là, c'est quand même à une échelle que moi
en tout cas je ne connais pas sur d'autres projets. C'est juste que là ça se voit mais en fait pour
combien de choses qui ne se voient pas ? Là il y a eu une entorse au bon pratique de la sécurité
c'est qu'il y a eu divulgation de la faille mais tout de suite quand le mec qui l'a vu il a
divulgué la faille qu'elle soit patché ou pas ou qui n'est pas de patch ou rien du tout. Là en
fait il y a eu normalement ce qui se passe c'est que une personne découvre la faille, l'on voit
quelqu'un en secret et après il y a le rapport de ce qui a pu se passer. Ça amène à deux choses,
c'est glout de la postula c'est effectivement de se dire qu'une infrastructure qui bouge,
c'est une infrastructure qui se sécurise tout le temps et en permanence et tu vois là la faille a
été stoppée au niveau de des bienes cides mais elle partait dans la stable, t'as combien de gens
qui installent des distribs et qui n'y touchent plus en disant bah ça va c'est stable et du
coup t'as des bugs d'or existants après pendant des années qui existent dans certains systèmes.
Donc ça c'est une conception de la sécurité qui faut absolument combattre parce qu'un système
stable c'est un système qui est potentiellement troué ou trouable mais parce que des fois t'as des
bugs et des fois t'as des choses comme celles qu'on voit là qui sont intentionnelles mais t'as
combien d'autres tu vois l'attente dans des systèmes LTS qui sont installés et qui bougent pas etc.
Deuxième point c'est le coup, l'économie de l'attaque c'est à dire que quand tu attaques des
bienes bah comme tu dis tu as l'impact sur toutes les dérivées des bienes et sur le parc d'installer
de des bienes et c'est pour ça que nous on maintient notre propre OS parce que c'est une surface
d'attaque qu'on réduit énormément en ayant alors ça coûte entre guillemets l'équipe qui est
capable de gérer l'OS par contre on gagne énormément sur le modèle sécuritaire parce
qu'on sait ce qu'on met dedans et on a le contrôle et la réactivité absolue on n'est pas obligé
d'attendre par exemple qu'une distribution fasse son patch le distribue etc. Quand il faut
savoir réagir sur un truc sur le marché quoi. Et aussi ça va éroder encore un peu plus la
confiance enfin dans l'open source ce qui critique il fait déjà pas mal j'ai peur de cet aspect là
aussi. Ou renforcer surtout les pratiques dans l'open source je pense. Quelque part ouais
l'open source permet de le voir là. Oui mais ça c'est vrai au final mais il y en a.
Ça permet des vecteurs d'attaque mais ça te permet de le voir. Dans le privé entre guillemets sur
les clauses sources c'est plus géopolitisé quoi c'est à dire qu'une solution d'éditeurs américains
va avoir des backdoors américaines les services chinois vont avoir du mal à aller voir les
éditeurs américains. Bonjour ça c'est pour la Chine ou alors c'est possible pour dire on vous autorise
la vente sur seul chinois mais où est la clé. Et là une fois que c'est privé t'as pas droit de
sécuriser potentiellement en open source qu'en code privé après t'as des vecteurs d'attaque
supplémentaires effectivement par des aspects communautaires ce que ça a levé dans cette
histoire là c'est l'aspect un peu burnout tu sais des mainteneurs solo du library qui est
utilisé par plein d'autres projets puis à la fin le plus gros burn out il y a eu c'est la
mainteneuse de alpin linux. Alors on va pas dire le plus gros parce que là il y en a qui se voit pas
oui mais ça ça ça va être le plus gros burn out parce que la personne elle packageait des dizaines
de milliers de paquets. Non ça avait été un gros burnout. Et du jour au lendemain elle a dit moi j'arrête.
On parle des fécurs gs, des collorgies, là le gars il a pas dit j'arrête, il a remis des versions
toutes pétées qui ont pété tous les trucs au dessus et en plus tu as des développeurs de boites tu vois
qui gagnent des fortunes qui sont qui sont descendues en l'insultant etc. Il c'est ffmpeg là qui vient
de faire un tweet en disant ta microsoft qui dit oui on utilise une version d'ffmpeg on a un truc
baguette c'est high priority dans les issues tu vois mais on a des clients en cours dessus sur une
solution merci de fixer vite tu es l'agent. Il y a un vp de google qui a sorti une fraise sur twitter
le jour en disant que si ton projet obi fait tourner tout le IT c'est plus un obi.
Mec si la personne n'avait pas payé pour elle n'avait pas payé pour.
Or en fait c'est toute la question c'est comment tu passes effectivement de ton obi à ton métier
et c'est pas si simple c'est pas que des questions techniques ou organisationnelles c'est même
philosophique c'est à dire que tu as des gens qui aiment faire ça d'un point de vue obi mais si tu
leur dis attend ça te demande trop de boulot je te paye pour en fait ça se trouve ça leur va
même plus toi. Bah non parce que c'est une c'est un métier. Tu fais des trucs peut-être dans ton
boulot que tu aimes pas mais le soir tu vas faire un truc que tu aimes parce que c'est un projet
qui va fabriquer. Est-ce que tu la comprennes à l'aimer quand tu bosses pour les autres. Voilà ça
Il y a l'aspect contrainte aussi l'aspect de Homo Manu qui a fait l'open source le soir parce que
bien bien pour me changer de cdm si un jour je ne veux pas parce que je préfère regarder Netflix
et regarder Netflix. Homo Manu ça devient un boulot. Ou alors soyons clairs où tu fais de l'open
source pas le soir tu peux très bien être mainteneur d'une libre dans une boîte payée par cette boîte
mais tu as fait une libre ou tu as fait un soft qui résolvait un problème à l'échelle de la boîte
avec la maintenance associée avec le coup de la boîte et ton projet explose et demain tu as la
moitié des boîtes de la terre qui commencent à l'utiliser et en fait le truc c'est que ça
doit s'anticiper et tu dois du coup avoir pas toi individuellement mais ton manager ta boîte
apparture ou tu open source des trucs elle doit être prête à se dire ok si le projet explose
comment on réagit comment on fait comment on cède parce que notre développeur là sinon il va
exploser au vol donc il faut pouvoir soutiller éventuellement voir le phasage à un moment donné
pour dire ok là on a besoin de renfort on a identifié deux trois autres boîtes qui contribuent
dessus il faut aller chercher d'autres maintenance quitte à aller mettre une fondation une gouvernance
etc c'est lourd c'est du process mais si tu le fais pas tu crames les gens et sur les projets
qui démarrent c'est pas très grave mais t'as combien de projets comme ça qui aujourd'hui sont un peu
en souffrance avec des gens qui portent les trucs à bout de bras et qui se plainent pas trop tu vois
tu les entend pas les développeurs massivement pas trop mais je pense qu'il y en a un paquet qui
sont déjà en mode pour voir un exemple très récent et c'est pas encore à ce point là mais j'ai
entendu les deux contributeurs en parler de l'angle chain 4j donc le portage de long chain pour java
pour l'instant c'est baqué par aucune boîte et tu vois leur guitare il se remplit des choses il ya
quelques paires mais tu sens qu'ils sont en train de se faire dépasser donc j'espère que bientôt ils
vont se faire sponsoriser ou mais c'est dommage c'est un beau projet mais tu sens que c'est on est sur
exactement ce que tu décris et moi j'ai bien connu ça qui cloque mais là l'avantage c'était qu'on
était déjà au sein de redat il y a déjà toute la structure et redat c'est j'ai fait ce genre de
projet mais ça va vite un projet qui explose d'un coup que tout le monde commence à utiliser
c'est exponentiel hein le monde c'est impressionnant donc c'est pas le majeurel
sur twitter fou de micotons pour ceux qui le cherchent qui disaient il ya le 3 avril que il disait
qu'il faudrait un équivalent netflix pour l'open source c'est à dire qu'en fait quand tu utilises
des projets enfin quand tu développe des projets tu peux le mettre en double licence c'est à dire
que tu le mets en agpl ce qui est le projet open source etc mais qui restera un usage peut être
commercial et tu as une licence commerciale qui passe par le la structure qui te permet
l'usage mais qui t'assure pour les boîtes qui payent une cotisation d'avoir une répartition après
des revenus sur les projets alors je trouve que l'idée n'est pas mauvaise t'as déjà des projets
qui commencent à se structurer pour faire un peu de rétribution de sponsoring etc pour moi ce que
ça résout pas c'est que c'est pas parce que tu payes que ça va résoudre le problème organisationnel
de la maintenance d'un soft c'est à dire que comme tu dis tu vois les issues qui explosent
etc et à un moment donné t'as besoin de quelqu'un qui fait du triage t'as besoin de quelqu'un qui fait
de la priorisation de la release du test etc et t'as besoin de professionnaliser en fait les
librairies qui qui se voit pas et qui aujourd'hui sont maintenues par par des simples contributeurs et
j'ai même envie de te dire que on va arriver sans doute dans les années à venir à un problème
structurel parce que l'informatique c'est quand même assez récent et qu'on a un paquet de mainteneurs
de libes de base qui ont à mon avis entre 50 et 60 voire 65 mais qui tu vois en plan retrait
ils maintiennent encore leurs trucs et t'as à mon avis un paquet de trucs comme ça ou à un moment
donné les gens vont soit mourir soit prendre la retraite et aller faire de l'élevage de chèvre
je ne sais quoi et du coup d'un point de vue structurel on va voir un paquet de libes comme
ça qui va falloir reprendre qui va falloir forquer qui n'ont pas été anticipé en ordre d'un point
de vue organisationnel et ça risque d'être assez chaotique mais peut-être pour résoudre mieux aussi
ce problème là qui aujourd'hui fait que tu as des faiblesses un peu dans le modèle quoi et là
c'est pas un problème open source clôt source parce qu'en fait le clôt source il se base sur les
mêmes librairies on va avoir le même problème avec cobalt quoi beaucoup de code et les développeurs
qui meurt tristes mais est ce que tu sais qu'il ya cobalt oiseum qui existe je suis trouvé dessus
la celemo de la faigne je pense je voulais se méditer sur cobalt on va s'emblie pendant
que on passe au souyé suivant de les souyés suivant de celles à l'intelligence artificielle
génératif et à ce bilier quoi que tu avais et à l'histoire s'en va vous nous raconter
oua c'est un peu c'est une anecdote mais c'est pour un peu illustrer cette déféarlante alors
je n'ai pas envie de dire le mot disparitif mais c'est comme un légendaire je sais pas dans ma boîte
dans ma boîte on dit ai ai ai je sais que chez docker c'est pareil chez mongo c'est pareil
tout mais un exemple très concret c'est une petite boîte qui s'appelle acorn je sais pas si vous
connaissez le mec derrière enfin qui travaille c'est darren chez père de je le suis sur twitter il
était chez rancher avant et tout il fait ce pas un truc autour de couvernet est moi ça n'a
pas l'accord il faisait une espèce de je crois que c'est une sur couche de elle ou un truc comme ça
c'est autour de la distribution de ressources à couvernet ils avaient un sas et toi avec des clients
et tout du jour au lendemain on fait bon ben maintenant on va faire de la gen aie aie et les gens
ils ont fait ouais mais là autour de votre produit faut non non non on laisse tomber le sas on le
ferme ça faisait 18 mois que ça existait on a informé nos clients on ferme le service on
travaille plus du tout sur et on fait un pivot complet et il travaille sur quelque chose qui s'appelle
je pt script c'est une espèce de script un langage de scripting autour de de gp t donc
essentiellement mais c'est un pivot complet de la boîte ça ça me fait quand même hallucinant
halluciné quoi bon ils sont encore petits devaient pas avoir tant de clients que ça je pense non
plus mais voilà c'est juste pour illustrer un peu cette quand même déferlante qui change un peu tout
voilà c'est je voulais partager ça j'ai mis le lien
et effectivement et a priori c'est encore un peu jeune et la bête est la semaine dernière
et ne correctant parce que derrière il faut qu'il se connecte à un modèle quelconque il avait
connecté connecté sur la piaye de chat gp t c'est un langage de script pour scripter de prompt
oui j'ai mal à trouver pour le moment l'utilité pratique à parler gadget mentou calie des
langages qui permet de scripter la production de prompt et derrière va le modèle va répondre à
prompt de la bala gp t script il est open source donc il ne sait pas que les vistas modèles
actuels de la nouvelle structure et bien de pivoter c'est une startup il doit voir aussi
de faune et de visi derrière la tue les coups c'est une question que pour le moment il se poste patro
ouais donc c'est peut-être les vici qui leur ont dit elle est hi vous avez vu les hi elle est hi et ta vue
l'experience
moi j'avais j'avais vu un projet qui était pas mal c'est en fait le système c'est plus
comment est-ce qu'on uniformise les appels sur des modèles mais pas seulement du chat gp t
là comme c'est fait mais vraiment tu peux interroger plein de modèles écrit des pipelines
d'action où tu vas aller prendre des réponses de l'un des réponses de l'autre et avec des
fonctions venir combiner les différentes informations pour les repasser à un autre
modèle qui va aller refaire des transformations et ainsi de suite et ainsi de suite jusqu'à arriver
par exemple j'ai envie de générer une vidéo avec une bande son et le transcript de cette vidéo
et on peut tout faire dans le pipeline c'est vraiment cool je suis en train de rechercher
le projet moi moi ce qui m'inspire ce que ça m'inspire tout cet aspect du marché en fait c'est
que toi il y a eu un moment donné tu avais le big data toutes les boîtes faisait du big data là
c'est les aides toutes les boîtes font les aides tu vas tu vas dans n'importe quel salon tout
tes aides riveau une truc machin à la cube con qui est un truc d'op sur tous tes aides machin alors
tu dis mais il y a un moment c'est plus rationnel et on sait que dans deux ans c'est un autre sujet
je te dis pas que les aides va disparaître mais en fait comme toute technologie à un moment donné
elle est assimilée dans quelque chose et tu n'en fais plus le marketing c'est à dire que tu te
différencies sur le marché par les capacités de ton produit mais pas par aides quelque chose c'est
juste que ceux qui n'en auront pas que je compas les cases ou on rend un moins bon produit mais
tout ça c'est assez pénible parce que du coup c'est pas rationnel ça te génère de délever
de fonds et de l'irrationnalité dans les discours quand tu discutes avec des clients
les gens sont là à te demander vous faites de l'aie et tu leur dis potentiellement vous en
avez besoin pourquoi on sait pas mais il faut qu'on les casse alors on sait pas ok très bien
et du coup les gens tu vois c'est comme pour cube tu vois
mais quand t'as plein de gens qui font quelque chose les gens se disent ah il nous le faut
tu vois il faut c'est notre stratégie cube là moi je désite à faire un blog poste ou une
conférence pour expliquer déjà on voit les signaux de ce qui arrive après cube et déjà c'est
bien et je trouve que ça va dans un bon sens et enfin je me dis ok on a compris on est en train
d'asseigné en le truc c'est très bien j'en parle pas là parce que sinon on est parti pour deux heures
mais je vois la suite arriver et je me dis ou le tous ceux qui sont partis de mode conteneurs cube
machin ils ont investi du blé comme jamais dessus et bref et là bah c'est pareil tu vois
tu as tout cette mouvance c'est vraiment des vagues en fait et que les boîtes surfent sur les
vagues tu dis ok bon il y a peut-être des opportunités mais le problème c'est que je trouve
que les gens sont très victimes de ces vagues là quoi c'est dur quand tu as une boîte aujourd'hui
qui n'est pas dans ce segment là d'avoir une différenciation de valeur technologique
produit etc sans avoir le discours marketing du moment j'ai retrouvé le projet de pipeline de
modèle ça s'appelle floné ou ou flonéom je sais pas si on le prononce à la numére dans ce que
tu dis un petit peu l'interface est dégueulasse parce que les personnes je pense qu'elles ne sont pas
fixe design mais le principe de uniformisation des appels au modèle est vraiment très très
je vois un peu avec et c'est très efficace ce que tu peux écrire dans les dans le langage
que tu veux tu peux brancher le modèle que tu veux tu peux créer des transformeurs comme tu veux
c'est vraiment la boîte de l'égo tout ça en passant par du du wasm mais ça ne ressemble pas un
peu pour le lm et pas que le lm justement puisque tu peux créer tes propres ploines si
t'en veux vite de brancher du stable diffusion du mid journée du whisper ou n'importe quel autre
modèle tu peux le fait de dévaluer plusieurs modèles en temps réel et tout et j'ai vu j'essaierai
d'aller le voir à dévox il ya stéphane johnson donc le créateur de dévox qui donne un tolque là
dessus où il va il monte un petit salle de rague avec 30 30 à la lame différent et tout enfin
je n'ai pas trop les détails mais ça me rappelle ce que tu m'as dit je pense que ça peut être
intéressant c'est tout le qui sont plutôt intéressant donc je pense que on est bavard c'est la
première conclusion on encore quel que ce soit à traiter donc on va peut-être passer au sourire
suivant et il y avait y avait vendu et l'impression que tu les années lié à plusieurs sorties
c'est vrai c'est tout les six mois si je me trompe à maintenant elle est sortie donc là
par une petite news rapide j'ai juste pour vous faire un petit overview de enfin donc il ya plusieurs
jepp qui ont été intégrés donc les jepps et gtk enhancement proposal donc les propositions
de feature et là dans java 22 il y en a une dizaine qui ont été rajoutées ça va de trucs
super spécifique du region pinning 4 g1 donc pour le garbage collector a des trucs plus enfin
plus simples genre maintenant dans un constructeur java tu vas pouvoir mettre des statements avant
l'appel de super voilà alors si vous demandez pourquoi aller sur aller sur la japa il donne des
petits exemples le paramètre qui rentre et qu'on veut vérifier qu'il est négatif qu'on veut faire
péter tout de suite une illégale argument exception avant d'appeler super on peut le faire
maintenant il ya il ya les strings template qui arrivent alors ça pour le coup avec toute la
toute la partie prompte de jen a et tout ça va faciliter les choses à c'est on peut dire que
du coup le gre 22 sera et aie en parlant de ça il ya aussi bien justement alors le victoire à
pii qui est qui est il est encore en incubation je vois incubation septième vague d'incubation
ouais je sais ouais le vector à pii c'est pour avoir de la vectorisation ouais ça donc c'est
pour la recherche dans la rame je peux chercher plusieurs trucs ouais mais si je suis à ok
pour les gens en vector je les fais pas et et l'autre coup aussi c'est que que je voulais dire
un truc cool non un truc marrant c'est les un name variables qui vont introduire donc le fait que
dans une boucle fort à ton un underscore voilà tu peux mettre un underscore attendez je trouve
qu'on est passé un peu vite sur la vectorisation et cd je pense que c'est bien d'expliquer
en gros dans un cpu t'as des instructions qui qui qui partent dedans et qui sont traités unitairement
et le but de cd c'est de pouvoir dire en fait on va bien paquer un ensemble d'instruction
et donc d'où l'aspect vector et c'est en fait tu viens traiter ce lot d'instruction avec avec du
coup moins de cycles cpu pour traiter les mêmes données donc dans certains cas de calcul intensif
dans lesquels il ya beaucoup de calculs qui se ressemblent en fait ça ça permet de venir ce qu'on
appelle pipeline et dans l'exécution en disant bah je vais jouer ce calcul là sur ces données là
et du coup ça accélère énormément le traitement de données notamment dans tout ce qui tout ce
qui est calcul alors type séries c'est un exemple mais c'est un bap côté hardware ouais c'est ça
bah c'est le ouais mais du coup le ton ton map à l'exécution quand tu le fais tu peux l'optimiser
quoi et du coup les instructions cd permettent ça donc c'est ce qu'on appelle la vectorisation et
tu as plusieurs frémoires qui tirent parti de ça et notamment haro qui est un frémoire de
manipulation de données et qui dit données dit qu'elles sont typées souvent de la même manière
quand on vient les traiter et qui dit type de la même manière dit qu'on peut vectoriser effectivement
le calcul le processing cpu pour économiser énormément de cpu et en fait tout le frein
de la base là dessus ça permet d'économiser des ressources phénoménales à l'exécution on peut
parler de ce qu'on a fait sur reçale reçale c'est l'implémentation pour le tls en rust donc
c'est le open ssl mais réécrit en rust et des collègues de cleaver ils ont utilisé justement
la vectorisation pour augmenter les perfs de plus de 20% et voilà plus de 20% juste en utilisant
les bonnes instructions cpu donc ça promettait belle chose aussi pour le javoc et je crois que
ça a été utilisé dans je sais pas si vous avez entendu parler du 1 billion rauw challenge de
ganard morling qu'il avait lancé en janvier là où il fallait classer des températures un milliard
de lignes il fallait qu'il avait sa base line à une minute et quelques et ça finit à trois secondes
quatre le gagnant à seconde quatre pour ouais et je vais pas en prêt le problème de ces trucs là
c'est c'est qu'en fait comme la hyper even quoi t'as toujours des gens qui disent or il y a telle
solution et fait ça plus vite mais en fait il y a un moment faut revenir à t'aînée à toi que
je te contrainte parce que en fait c'est pas parce que t'as un framework qui bat tout le monde dans
un cas précis que en fait il va être le meilleur pour tes besoins et et et et on en revient à toujours
il faut évaluer les choses par rapport à ton contexte et contrainte tes besoins et et ta capacité
aussi tu vois à aller dans telle ou telle solution à maintenir les choses et moi c'est des principes
d'ingénierie qu'on oublie beaucoup beaucoup trop souvent à maintenir c'est très important
je suis dis oui une solution très élégante au niveau de performance ça va être un cauchemar
niveau maintenance aussi je suis en train de regarder il y a des trucs qui sont ignoble dans le
when beyond alors ça doit être efficace mais tu m'inscrives pas ça quoi du coup il y en a
qui se sont lancés les quelques fous de la gvm là et tout ce sont mis dedans là avec du unsafe et
tout enfin moi moi moi ça va au delà de mes capacités mais j'ai bien aimé ça me rappelle
ça me rappelle les vim golf tu as des fois pour se marrer à cléveur on fait des vim golf et bon
des fois alors tu apprends des choses mais je vais vite l'oublier aussi un peu parce qu'il y a un
j'aime bien le trajet que ça prend enfin simplement finir avec impétit news autour de la vache
autour de la vache autour des biscuits une solution qui en est bien et qui a mis la news qui
parle maintenant c'était toi et c'était ouais bah c'est moi mais on peut parler avec yannick
donc effectivement en fait en décembre il y a jial qui a chip le l'implémentation
java à jour de biscuits et et notamment avec le support initial des sortes de parties token et
on a fait un petit correctif dedans dans les derniers jours parce qu'en fait on s'est mis à l'utiliser
on s'aperçut qu'il manque un petit truc et donc on est allé faire cette contrib là pour notamment
va pouvoir utiliser effectivement les sortes parties token et du coup je me dis que c'était
une bonne opportunité d'évoquer l'aspect sortes parties token parce que d'un dire un mot là dessus
yannick l'idée de biscuits c'est que une autorité va venir mettre des informations dans un token
et lorsque l'on a ce token un utilisateur va pouvoir atténuer ses droits mais il ne va pas
pouvoir les augmenter donc ça c'est la version non sortes parties des biscuits sauf que ce mécanisme
à un problème c'est que si une autre entité a besoin de rajouter des informations dans le biscuit
bah il peut pas parce que le biscuit ne permet que d'atténuer les droits du coup l'aspect sortes
parties ça va consister à venir signer des données avec une clé privée différente de celle
qui a servi à créer le token initial et qui va être trust par la personne qui va aller vérifier
le biscuit en étant l'autorité de confiance qui a été créé les informations supplémentaires ça
veut dire qu'une entreprise a va pouvoir créer un biscuit avec les informations qu'il veut et une
entreprise b va pouvoir aller rajouter ces informations pour qu'une entreprise c face
la vérification à la fois avec la clé publique de l'entreprise a et de la clé publique de l'entreprise
b uniquement pour l'effet qui ont été rajoutés à l'intérieur du bloc sortes parties donc en
gros c'est ça le sortes parties c'est de permettre d'augmenter les droits sans avoir le open bar
complet où on permet à tout et n'importe quoi de pouvoir rajouter dans le mission ok donc c'est
le vrai choix parce que ça permet une composition de tes droits entre des entités différentes et
donc en termes d'écosystèmes de droits tu vois ça permet par exemple en marketplace d'avoir des
produits marketplace qui ont des droits sur le provider en dessous mais qui peuvent avoir hérité
droits supplémentaires par la solution en fonction de d'un iam complémentaire qui serait pas
forcément intégré dans l'iam de l'entreprise a ou b comme disait yannick et ça c'est assez
exclusif parce que de mémoire c'est la seule technique qui supporte ça il y a ma caron un petit
peu mais c'est dur à mettre en place sur les sortes parties comme ouais il y a la possibilité de faire
des bidouilles avec mais c'est un peu sale par rapport à biscuit où c'est vraiment nickel du fait
qu'il ya un sdk qui est fourni avec le biscuit alors que macarons fait sa sauce tout à fait
tout cet truc là avec des biscuits de macarons commence à me dire que c'est presque l'heure
de manguer donc c'est peut-être un bon moment pour arrêter l'épisode de aujourd'hui on est
x maintenant donc c'est b de 7 0 6 27 0 6 voilà sur l'intinousine je suis pas trop et sur youtube
je j'essaye de refaire un peu des vidéos en ce moment sur la gen aie écoircus avec un co-speaker
sympathique ouais un co-speaker très sympathique et on va se retrouver à dévox france dévox uk et
code motion espagne toujours avec le menthol que ça a très bien bien nous aussi on se retrouve
d'ailleurs à dévox alors avec un truc exclusif on n'en parle pas pour l'instant mais on y va gros
ça c'est un beau mot de fan d'un sq là on va arrêter ici au revoir tout le monde au revoir tout le monde
à la prochaine