Carnet de notes

Auteur/autrice : Éric

  • Que faire de Gemfile.lock et compo­ser.lock

    L’objec­tif du Gemfile c’est de dire « le projet a besoin de la biblio­thèque X en version 4.5 mini­mum, et de la biblio­thèque Y en version 1.3 à 1.5 ». L’objec­tif du Gemfile.lock c’est de dire « ici on a X en 4.5.6 et Y en 1.3.8, c’est cet ensemble précis qui est testé et mis en produc­tion ».

    J’ai encore vu passer la ques­tion il y a quelques jours

    Le Gemfile.lock, c’est quoi la bonne pratique, je le pousse sur le git ?

    Et la réponse clas­sique « Oui, pour s’as­su­rer que la produc­tion soit en phase avec les versions que tu as testé », avec parfois quelqu’un qui ajoute « sauf pour les paquets gem / compo­ser, où là il ne faut pas le pous­ser dans le dépôt git ».

    Sauf qu’en fait c’est plus complexe, et ce n’est pas une problé­ma­tique tech­nique. C’est une ques­tion d’or­ga­ni­sa­tion :

    Qui fait la main­te­nance appli­ca­tive ? Qui suit les mises à jour de sécu­rité au jour le jour ? Qui est dispo­nible en astreinte en cas de besoin ? Avez-vous une procé­dure de test auto­ma­tisé suffi­sam­ment fiable ? Quelle est la poli­tique de numé­ro­ta­tion de vos dépen­dances ?

    Plus exac­te­ment, le Gemfile.lock et le compo­ser.lock doivent être maitri­sés par l’équipe qui gère la main­te­nance de sécu­rité.

    Équipe de déve­lop­pe­ment

    Ce peut être l’équipe de déve­lop­pe­ment. Dans ce cas c’est à elle de pous­ser le .lock sur son outil de version­ne­ment, de le mettre à jour et de déclen­cher un déploie­ment en cas de besoin.

    Atten­tion : Dire « je pousse les .lock dans le git », c’est dire, « personne d’autre que moi ne doit y toucher ». C’est parfois présomp­tueux, mais ça veut aussi dire être respon­sable de la mise à jour, y compris quand on n’en n’a pas envie.

    Ça veut dire surveiller en perma­nence le besoin de mettre à jour une des dépen­dances pour des raisons de sécu­rité. Ça veut dire une veille active sur le sujet, du temps dédié à ça, et des outils ou proces­sus bien défi­nis. Très peu d’équipes de dev ont ça.

    Est-ce le rôle de votre équipe de dev ? en a-t-elle les moyens ? le temps ? l’au­to­no­mie ?

    Équipe de produc­tion

    À l’in­verse ça peut être à l’équipe de produc­tion de gérer ces arte­facts. Dans ce cas c’est à cette dernière de pous­ser les .lock sur leur propre version­ne­ment, avec le reste des confi­gu­ra­tions. Eux ont des proces­sus établis pour faire les veilles de sécu­rité, des astreintes en cas de mise à jour en urgence, etc.

    En échange ça veut dire que les dépen­dances sont spéci­fiées très sérieu­se­ment et plus préci­sé­ment dans le Gemfile. Parfois dire « je veux la version 4.5.* » et pas unique­ment « je veux une version 4 ou supé­rieure ». Pous­ser le Gemfile.lock sur le git de l’équipe de déve­lop­pe­ment peut aussi être un indi­ca­teur que le Gemfile d’ori­gine est géré avec légè­reté au départ.

    L’équipe de produc­tion se basera sur ces défi­ni­tions précises, sur les notes de mises à jour des dépen­dances, puis mettra à jour le code et le Gemfile.lock en fonc­tion. Elle fera ensuite passer les tests auto­ma­ti­sés, peut être une équipe de QA. À la fin elle pren­dra – ou non – la respon­sa­bi­lité de déployer en produc­tion la mise à jour sans passer par l’équipe de déve­lop­pe­ment, en fonc­tion de l’ur­gence et du risque. Ça impose donc aussi des tests auto­ma­ti­sés suffi­sam­ment solides pour se baser dessus lors d’une mise à jour mineure.

    Dans une grosse struc­ture, ou avec une équipe de produc­tion dédiée de qualité, c’est proba­ble­ment une des meilleures options. Mais… votre équipe de produc­tion est-elle compé­tente sur ces sujets ? a-t-elle l’au­to­no­mie suffi­sante pour cela ? le code, le Gemfile et les tests auto­ma­ti­sés sont-ils suffi­sa­ment à niveau ?

  • Ouver­ture, vitesse et ISO

    Parce que fut un temps ça m’au­rait bien aidé, si jamais ça aide quelqu’un d’au­tre…

  • If You Own a Pitch­fork, You Will Grab It When You See This Chart

    Une image vaut parfois mille mots. La somme des bonus donnés à Wall Street en 2014 (unique­ment les bonus, unique­ment Wall Street), vaut à peu près deux fois l’in­té­gra­lité des reve­nus de tous les améri­cains au salaire mini­mum sur la même année.

    Dit autre­ment : En reti­rant les bonus unique­ment à Wall Street, on pour­rait tripler le revenu de tous les améri­cains actuel­le­ment au salaire mini­mum. Et nous sommes il parait dans des années de crise…

    Ça fait un peu réflé­chir sur les inéga­li­tés.

    via Mother Jones

  • Systeme anti copie de merde, où l’art de tuer la poule aux oeufs d’or

    Rupture de stock sur le DVD, mais cela ne l’ar­rêta pas, même face au prix exor­bi­tant de la chose, le petit cochon ayant été brisé en consé­quence, elle se rabat sur la version Bluray

    […]

    Nous avons, dans notre logis, accès à 2 lecteurs Bluray: un clas­sique lecteur de salon qui fait home cinéma et l’autre sur la Free­box. Le premier est de marque Samsung (HT-C5500) qui est supposé se mettre à jour par inter­net pour béné­fi­cier des toutes dernières avan­cées de la tech­no­lo­gie. Sauf que bien sûr, le fabriquant a décidé qu’il était main­te­nant trop vieux (5 ans) donc plus de mise à jour. L’autre lecteur est celui de la Free­box qui est tout le temps à jour à chaque allu­mage. Ni l’un ni l’autre n’a pu lire ne serait-ce que le menu d’ac­cueil du Bluray.

    […]

    Par contre pour le film The mortal instru­ments, non seule­ment on ne peut pas le mettre sur le télé­phone, histoire de regar­der en boucle les scènes préfé­rées avec les copines au collège, mais pire que ça, elle ne peut même pas le voir. Et tout ça pourquoi ? Pour éviter le télé­char­ge­ment illé­gal ?

    MOUUUUUUAAAAAAAAA je me gausse, je me bidonne de rire, je me gondole d’hi­la­rité. Le film est dispo­nible au télé­char­ge­ment sur n’im­porte quelle plate-forme de torrent ou de strea­ming le lende­main de sa sortie en DVD ou en Bluray, quelque soit le système de protec­tion anti copie.

    […]

    Et au final, vous croyez que ma fille va recas­ser sa tire­lire pour prendre le risque d’ache­ter un film la prochaine fois ? Sérieu­se­ment ? Elle était une consom­ma­trice en puis­sance, qui adore possé­der les objets, les livres, les DVD, les photos. Là, elle va être un peu vacci­née.

    — Cédric Augus­tin

    Connu, vu et revu, mais on s’en­fonce jour après jour. On n’en est même plus à dégoû­ter ceux qui veulent ache­ter : On en est à les forcer à utili­ser le circuit de contre­façon. Ceux qui n’ont jamais eu aucune envie d’ache­ter, eux, n’ont jamais été gênés. Allez compren­dre…

    Prix adéquat, retrait des protec­tions qui ne gênent que les honnêtes gens, ça serait un mini­mum pour permettre à la machine de fonc­tion­ner… s’il n’est pas trop tard parce que c’est plus d’une géné­ra­tion qu’on a ainsi perdu.

  • Le Kansas veut limi­ter les loisirs des plus pauvres

    Les personnes rece­vant des aides publiques ne pour­ront plus dépen­ser leur argent à la piscine et dans les débits de bois­son, ni en « pier­cings, massages, spas, tabac, ongle­ries, linge­rie, salles d’ar­cades, croi­sières ou visites chez le psychiatre […] parcs à thèmes, centres équestres ou canins, entre­prises du sexe, ou n’im­porte quel endroit inter­dit aux mineurs » […] il sera impos­sible aux personnes aidées de reti­rer plus de 25 dollars par jour en liquide à un distri­bu­teur [avec 85¢ de frais à chaque retrait]

    [..] dans le Missouri, les répu­bli­cains envi­sagent d’ex­clure la viande et les fruits de mer de la liste des denrées que l’on peut ache­ter avec des bons alimen­taires

    — Libé­ra­tion

    Culpa­bi­li­sa­tion et infan­ti­li­sa­tion des plus pauvres pour leur situa­tion et le fait qu’ils béné­fi­cient d’une aide de redis­tri­bu­tion, au point de contrô­ler comment ils vivent et s’as­su­rer qu’ils font bien preuve de péni­tence et évitent de jouir de la vie qui leur est offerte.

    Nous sommes proba­ble­ment loin de ces excès en France (et ce n’est pas encore voté même là bas), mais l’es­prit de culpa­bi­li­sa­tion et d’in­fan­ti­li­sa­tion y est de plus en plus, par exemple au Pôle Emploi.

    Alors que nous devrions être fiers d’ai­der ceux qui en ont besoin, et de les voir en jouir. Ques­tion de choix.

  • Vous avez aimé la crise finan­cière de 2008, vous allez adorer la prochaine

    […] L’idée même du risque semble avoir disparu de la tête des inves­tis­seurs. Comme s’ils avaient sous­crit une assu­rance tous risques auprès des banques centrales […]

    […] Au total, le bilan des banques centrales a doublé, passant d’un peu moins de 3,5 % à quasi­ment 6,5 % du PIB mondial. […]

    […] Où est passé alors cet argent ? Dans les marchés finan­ciers. Le cours des actions a doublé en cinq ans à Wall Street, en deux ans à Tokyo, et les bourses euro­péennes leur emboîtent le pas […]

    […] “On a confondu créa­tion moné­taire et créa­tion de richesses” tranche l’éco­no­miste Charles Gave. […]

    […] Selon le prix Nobel Robert Shil­ler, grand expert de la forma­tion des bulles spécu­la­tives, le PER (price earning ratio) ajusté du cycle écono­mique s’élève, à Wall Street, à 27, un niveau jamais atteint sauf en… 1929, 2000 et 2007. […]

    […] Selon le régu­la­teur britan­nique, plus d’un hedge fund sur dix utilise actuel­le­ment un effet de levier supé­rieur à 50, ce qui veut dire qu’ils gèrent des posi­tions de marché corres­pon­dant à 50 fois le montant des fonds qu’ils ont en gestion ! […]

    — Le Nouvel Écono­miste

    Fran­che­ment à lire.

    Notre seule solu­tion depuis quelques années, c’est prêter de l’argent gratui­te­ment en quan­tité illi­mi­tée (voire parfois à taux néga­tif, si si)… à des enti­tés qui l’uti­lisent pour alimen­ter la machine à spécu­ler sur les marchés, augmen­tant le risque sans amélio­rer le fond de l’éco­no­mie.

    Sura­bon­dance de liqui­di­tés, écra­se­ment des taux d’in­té­rêt, sophis­ti­ca­tion des outils finan­ciers, garde-fous illu­soires. Autant d’élé­ments qui poussent, à nouveau, “au crime”

  • Pourquoi vous perdez toujours aux machines à pinces des fêtes foraines

    Les machines avec les pinces qui permettent d’es­sayer d’at­tra­per des peluches ou des lots en échange d’une pièce sont omni­pré­sentes dans les fêtes foraines mais on y gagne rare­ment quelque chose.
    Naïve­ment je croyais que les pinces étaient juste conçues avec un jeu méca­nique qui faisait qu’elles avaient tendance à ne pas attra­per ou à relâ­cher malen­con­treu­se­ment le prix avant de l’avoir ramené à bon port et que les prix étaient dispo­sés de façon à être diffi­ciles à attra­per.

    […]

    Pour plus de simpli­cité, le proprié­taire peut aussi rentrer dans la machine la valeur moyenne des lots, le prix d’une partie et le pour­cen­tage de profit qu’il souhaite. La machine va calcu­ler auto­ma­tique­ment exac­te­ment combien de fois elle doit permettre aux joueurs de gagner pour atteindre le rende­ment souhaité.

    — La boite verte

    Ça mérite sérieu­se­ment une inter­ven­tion de la répres­sion des fraudes ce truc… en plus c’est telle­ment évident…

  • Fiché

    Par le hasard de la sous-trai­tance de sous-trai­tance, j’ai été amené un jour à inter­ve­nir sur le site Web d’un très grand groupe privé, pour mettre en place leur système de publi­ca­tion.[…]

    Un matin, le client a bruta­le­ment rompu le contrat avec le pres­ta­taire qui travaillait sur le site, sans préavis ni la moindre expli­ca­tion. Je n’ai jamais vu un projet se finir aussi abrup­te­ment.[…]

    Quelques années plus tard, j’ai croisé un ancien collègue côtoyé sur ce projet, et eu le fin mot de l’his­toire. Quelqu’un, chez le client, s’était rensei­gné sur mon compte, avait décou­vert que j’étais un infâme gauchiste, et avait provoqué la rupture du contrat pour écar­ter la menace que je repré­sen­tais à leurs yeux.[…]

    Je n’avais pas de casier, pas de présence en ligne, rien qui aurait pu permettre de décou­vrir léga­le­ment la teneur de mon acti­visme. Quelqu’un, au sein d’une entre­prise privée, a pu avoir accès à des infor­ma­tions. Quelqu’un, au sein des « services » qui déte­naient ces rensei­gne­ments, les a lais­sées fuiter. […]

    Cette histoire n’a rien d’ex­cep­tion­nel, j’ai eu connais­sance d’autres témoi­gnages de même teneur, comme celui d’un came­ra­man membre de la LCR, pas vrai­ment une orga­ni­sa­tion révo­lu­tion­naire, qui, a peine embau­ché par une antenne locale de FR3, a été « dénoncé » à son rédac­teur en chef par les RG locaux […]

    — Esquisses

    À titre de rappel, le projet de loi sur le rensei­gne­ment ne concerne pas que la lutte contre le terro­risme mais aussi les inté­rêts écono­miques et scien­ti­fiques (donc dès que ça concerne une grosse entre­prise), les enga­ge­ments inter­na­tio­naux ou euro­péens (donc si vous mili­tez pour ou contre un élément sur lequel la France a signé un jour une conven­tion), ou les violences liées à l’ordre public (et fran­che­ment là dedans vient quasi­ment toute mani­fes­ta­tion ou acti­visme un peu fort)… pas que les faits avérés, mais la préven­tion de faits poten­tiels : Pas besoin d’avoir fait quoi que ce soit.

  • Reli­sons la notice

    [Je] lis les mêmes argu­ments, varia­tions autour du thème “la sécu­rité est la première des liber­tés” et “point de liberté sans sécu­rité”. Mon poil de juriste, que j’ai dru hormis sur le crâne, se hérisse aussi­tôt. Et je m’en vais faire mien cet apoph­tegme bien connu des infor­ma­ti­ciens : RTFM, qui peut se traduire par “Diantre, et si nous reli­sions la notice ?”

    […]

    La réponse est à l’ar­ticle 2 [de la décla­ra­tion des droits de l’homme et du citoyen] : Le but de toute asso­cia­tion poli­tique (dans le sens d’État, et non de parti poli­tique comme cela pour­rait être compris aujourd’­hui) est la conser­va­tion des droits natu­rels et impres­crip­tibles de l’Homme. Voilà le but et l’objet de l’Etat : proté­ger nos liber­tés. Avouez que ça ne semble plus aller de soi.

    Deuxième ques­tion : quels sont ces droits ? Ils sont énumé­rés juste après : Ces droits sont la liberté, la propriété, la sûreté, et la résis­tance à l’op­pres­sion.

    […]

    clari­fions un point essen­tiel tout de suite : la sûreté n’est pas la sécu­rité que nous promettent nos élus pour peu que nous renon­cions à toute garan­tie de notre vie privée. La sûreté qui préoc­cu­pait les révo­lu­tion­naires de 1789 n’est pas la certi­tude de vivre toute sa vie indemne de tout mal, pensée absurde dans la France de 1789, mais, et c’est là la pensée révo­lu­tion­naire : la protec­tion de l’in­di­vidu face à la puis­sance de l’État, que ce soit un roi ou tout autre diri­geant.

    […]

    Ainsi, ceux qui disent que la sécu­rité est la première des liber­tés se trompent et prennent le problème à l’en­vers. La sécu­rité est bien sûr essen­tielle, mais car elle four­nit le cadre d’une appli­ca­tion sereine et entière des droits de l’homme. L’in­voquer pour limi­ter ces droits est donc une trahi­son et une forfai­ture.

    — Jour­nal d’un avocat

    À lire en entier, parce que le style de Maître Eolas est toujours un plai­sir, mais aussi comprendre d’où on vient, combien la dérive actuelle est dange­reuse, tota­le­ment contraire à l’es­prit fonda­teur de notre État.

  • Petit mémento photo pour plus tard

    Petit mémento photo pour plus tard. Pour moi-même, mais si ça inté­resse quelqu’un d’au­tre…

    • Atten­tion aux réglages des anciennes prises de vue, comme la sensi­bi­lité iso par exemple
    • Véri­fier l’ar­rière plan après chaque dépla­ce­ment ; en tour­nant autour du sujet, le fond change aussi
    • Persis­ter sur une pose ou une photo avant de passer à la suivante, cher­cher les lignes, les détails qu’il faut corri­ger, les lumières à amélio­rer ; s’ar­rê­ter voir la photo ailleurs que sur le petit écran de l’ap­pa­reil
    • Tenter des lumières plus diffuses, par exemple avec un para­pluie
    • Et pourquoi pas en couleurs ?