Les quelques personnes qui suivent ce blog, se souviennent peut-être encore de mon billet sur DNF le fork du yum, le gestionnaire de paquets sur Fedora et qui devrait dans un avenir pas trop loin remplacer ce dernier. Pour rappel, l’objectif derrière cette réécriture de yum, est l’amélioration des performances et le souhait de proposer une API plus claire.

Récemment, Richard Hughes -le développeur de DNF- a publié un billet sur son blog clarifiant un peu la voie que va suivre le développement :

I spent a couple of days last week in Brno talking about the future of package (and application) management in Fedora. Things we discussed:

• We currently don’t cater for desktop users by showing details about the packaging layer (GPG keys, packages, etc) and not being able to search while we install/remove
• We need a centralized application store to stay competitive with other distros and OSs
• Our metadata and package mirroring policies hurt end users not using the command line
• I presented (and demoed) gnome-software with its plugin architecture that would allow us to switch to using packages and blobs like glick and listaller
• I made the case for application metadata, so we can get things like localised application details, screenshots and ratings using a few different methods

Et un peu loin dans le billet, on peut lire ceci :

We want a software center, and fedora-tagger can provide the ratings/comments information. We might need an OCS server for screenshots, or can tie in screenshots with automated QA somehow.

Donc en gros, Hughes veut suivre l’exemple de l’Ubuntu Software Centre, Google Play et autres App Store, et proposer sur Fedora et RHEL le même système, qui devrait permettre in fine aux utilisateurs de, entre autre, noter et commenter les applications.

C’est peut-être une bonne idée, mais je me pose toujours la même question avec ce genre d’outils : cela ne risque t-il pas de nuire au final aux utilisateurs plus que de les servir ? Affaire à suivre.

source

Cet article DNF, le fork de yum proposera un Software Centre est apparu en premier sur crowd42.

Original post of crowd42.Votez pour ce billet sur Planet Libre.

Suivez-moi aussi sur Identi.ca ou sur Twitter.

Comment concilier mon envie de développer un site web autour d’une idée originale (donc très motivante) et la partie technique associée qui me rebutait à priori, de par mon expérience du monde PHP/MySQL (qui date un peu je vous l’accorde) ?

Mon intérêt pour le langage Python m’a naturellement poussé vers le framework Django. Mais les technologies impliquées dans la réalisation d’un site web moderne sont aujourd’hui légions.

Je brosserai dans cet article un large portrait des choix techniques que j’ai faits et de la difficulté associée à leur emploi.

Technologies employées

Debian

Système stable avec beaucoup de paquets. Personnellement j’adore Debian Squeeze avec les backports puis Wheezy aujourd’hui. Migration très simple effectuée récemment dans mon cas.

Django

Le choix de Django vient de mon intérêt pour Python. J’ai quand même observé une adoption de plus en plus large de ce framework web pour des sites à forte audience, me réconfortant sur sa capacité de passage à l’échelle.  Le site utilise le framework Django en version 1.5. J’ai eu beaucoup de mal au début à intégrer le fonctionnement de Django, mais une fois maîtrisé ça a clairement boosté mes capacités à mettre en place ce que je voulais coder pour le site. C’est solide, cohérent, modulaire et très conforme à l’esprit du langage Python.

Apache

Pour la partie serveur web, je suis parti sur un Apache 2.2 + mod wsgi, principalement pour des raisons de simplicité de mise en place. J’envisagerais quelque chose de plus travaillé si le site décolle et devient plus exigeant en performances. Je pense en particulier à l’emploi de Nginx.

PostgreSQL

Django s’interface avec plusieurs bases de données (PostgreSQL, MySQL, Oracle, SQLite). J’ai choisi PostgreSQL pour la robustesse de cette solution et sa pérennité. J’avais aussi de bonnes connaissances dans cette solution et je souhaitais l’utiliser plus largement dans un projet personnel, les fonctionnalités de la version 9.2 étant très alléchantes.

South

J’en parle immédiatement car cette petite application a considérablement réduit la complexité du passage en production. Elle gère de manière transparente la migration des schémas et la migration des données de la base de données lorsque vous installez une nouvelle version de votre application. Concrètement, vous avez rajouté des colonnes à une table dans votre version de développement, vous avez installé la nouvelle version de développement en préproduction, maintenant vous avez deux choix : soit vous passez des ordres SQL à la main afin de rajouter les colonnes qui vous manquent sur la base de préproduction (ce qui impliquent de bien avoir identifié les éléments à rajouter) avec tous les risques que comportent ces opérations, soit vous utilisez South qui le fait pour vous. J’ai mis un peu de temps à bien maîtriser les différentes étapes du processus de migration des données, mais la documentation est précise et c’est un vrai plaisir à lire.

Git

Le gestionnaire de sources Git que j’utilise déjà sur plusieurs autres projets s’est imposé comme un très bon choix pour ce projet. Avec des connaissances basiques, j’en ai néanmoins fait un point très important de ma chaîne d’industrialisation particulièrement pour le développement et l’intégration du développement vers la préproduction. Voir plus bas.

Memcached

Django propose de s’interfacer simplement avec Memcached, le serveur de cache qui permet de gagner du temps lorsque les données interrogées sont déjà stockées en cache. Sa prise en charge par Dhango a poussé mon choix vers l’ancêtre (ancêtre si on le compare à Redis par exemple).  A titre personnel, je serais plutôt parti sur Redis, mais je voulais rester aussi proche que possible des outils utilisés par Django. A voir dans le futur. Une chose est sûre, Memcache uned fois lancé ronronne et on en entend plus parler. Un plaisir pour l’administrateur système. Memcached s’interface très bien à Django via le module Python-memcache.

Haystack/Whoosh

Un ensemble d’outils pour la fonction recherche du site. J’ai cherché des projets actifs et simple à intégrer dans Django. Elles remplissent bien leur job et n’ont pas représenté de difficultés particulières pour être mises en place.

Zinnia

Cette application Django permet de rajouter un moteur de blog adaptable à votre propre site web très facilement. J’en parlais déjà dans l’un de mes vrac de mini-messages et j’ai bien fait d’approfondir. Le projet est actif, utilisé par de nombreux sites. Ayant déjà travaillé sur son intégration à mon site, je peux confirmer que c’est bien pensé et fidèle au modèle de fonctionnement de Django. Et en plus c’est bourré de fonctionnalités intéressantes J’ai hésité entre zinnia et externaliser le blog mais j’ai préféré intégrer le blog au sein du site pour être sûr plus tard de pouvoir augmenter au maximum les interactions entre les deux, et ce de la manière la plus transparente possible pour l’utilisateur. J’ai trouvé le temps de prise en main très court quand on comprend bien le principe de base, à savoir la surcharge systématique des fonctionnalités offertes par défaut pour les adapter à vos besoins.

jQuery

JQuery est une bibliothèque Javascript dont je me sers pour la partie bling-bling web 2.0 du site. J’en ai une utilisation très basique mais je suis très content du résultat. Etant peu motivé pour coder du Javascript, j’ai largement simplifié cette phase grâce à JQuery.

Découpage dev/préprod/prod

Dès le début du projet j’ai découpé ma chaîne d’industrialisation en trois étapes :

• Le développement, où j’implémente les nouvelles fonctionnalités
• La préproduction, qui récupère la version de développement, s’installe sur un vhost Apache dédié grâce à un script mise-en-preproduction.sh
• La production, qui est une copie des données de préproduction adaptée via un script mise-en-production.sh pour un vhost Apache dédié

L’utilisation de cette chaîne d’industrialisation me permet de pousser rapidement des nouvelles versions du développement vers la préproduction où s’effectue les premiers tests et l’adaptation au contexte fonctionnels, puis de la préproduction vers la production. Mon prochain objectif est la mise au point de campagnes automatisées de tests fonctionnels, sûrement avec Selenium.

Et vous ? Que pensez-vous des technologies mentionnées dans cet article ? Des remarques sur l’industrialisation ? N’hésitez pas à réagir dans les commentaires.

Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Il y a quelques années, j’avais découvert le livre Computer Science Unplugged. La semaine dernière, je suis retombé sur le pdf, et l’ai relu avec le même intérêt. D’ou cet article pour faire partager cette (re)découverte.

CS Unplugged est un livre pour faire découvrir l’informatique, sans ordinateur. Il s’agit d’un support pédagogique, qui explique de manière très claire comment fonctionne l’informatique, le format des données que traite l’ordinateur, et comment celui-ci fait pour traiter les informations.

Je n’ai pas de relations avec le monde enseignant, et ne me tiens pas au courant de la manière dont l’informatique est traitée en classe. Pourtant je trouve que ce support de cours est intéressant à plus d’un titre :

• tout d’abord il est libre ! C’est suffisamment rare pour mériter d’être souligné. Le livre est diffusé sous licence creativecommons et les sources (au format .doc) sont téléchargeable sur le site.
• ensuite il est vraiment très pédagogique. Je ne me suis pas ennuyé en le lisant, et les exemples sont vraiment bien introduits.

L’exemple ci-contre est une explication des bits de parités et du contrôle des erreurs. Comme l’ensemble des activités, cela se fait avec des cartes ou des images, et le but derrière l’activité est de comprendre comment l’ordinateur fonctionne. À la lecture de cette image, avez-vous compris comment la fille a pu deviner quelle carte avait été retournée ? (Je vous ai donné un indice en parlant de bits de parité ; imaginez que chaque carte représente un bit). Si vous ne trouvez pas, allez-voir l’activité 4 à la page n°31 !

Chaque activité est accompagnée d’un peu de théorie, ainsi que d’exemples issus de la vie courante (ici l’utilisation des sommes de contrôles dans le n°ISBN des livres).

Les activités vont à chaque fois un peu plus loin dans la complexité, mais tout en restant facilement abordable ; à la fin du livre, vous serez même capable d’expliquer le principe du tri rapide !

Si vous avez besoin de faire découvrir l’informatique, où si vous êtes à la recherche d’une pédagogie qui tourne autour de l’ordinateur, de la théorie de l’information et des algorithmes, vous trouverez probablement votre bonheur dans ce livre — la page de couverture parle d’activité d’éveil à partir de l’école primaire, mais sans limitation d’âge, et ce serait dommage de passer à côté de cette pépite…

Original post of Chimrod.Votez pour ce billet sur Planet Libre.

Imaginez la scène : devoir utiliser un outil propriétaire pour présenter un logiciel libre, car ce dernier refuse de fonctionner ou ne dispose pas de fonctionnalités permettant sa mise en œuvre… Cocasse, risible, à pleurer, préparation insuffisante ? Un peu tout ça à la fois.

Cet après-midi, je devais avec d’autres personnes participer à une présentation des principes du Web3D++ (par ici si ça vous intéresse). Sur le principe c’est assez simple, il suffit d’installer un navigateur Web3D (libre) et de se connecter à un serveur (libre) sur internet. En plus cela se présente bien, puisque le poste sur lequel doit se faire la présentation est sous Ubuntu (libre allez disons libre).

Ledit logiciel libre dénommé Firestorm est disponible en téléchargement. Un gros tas de binaires (61Mo) à télécharger et décompresser dans un répertoire. Jusque là tout va bien. Là où ça se corse, c’est que le projet ne fournit que des binaires compilés en 32 bits. Le poste de démonstration est en 64 bits. Par grave mon interlocuteur, libriste confirmé télécharge les librairies de compatibilité 32bits (410Mo en plus).

Nouvelle tentative de lancement, il manque encore une petite librairie par-ci par-là, elles sont ajoutées. On relance et là message d’erreur “libgl blabla….”. Il reste 30 minutes avant la présentation. Bon allez, on passe au plan B sous Windows.  Le logiciel s’installe en mode “Suivant, J’accepte, suivant, terminé”. Faisons cette concession.

Le logiciel se lance cette fois, mais n’arrive pas à accéder à internet. Il y a un proxy sur le réseau. Bon, là c’est raté le logiciel ne dispose pas d’option pour utiliser un proxy. Il est 16h20. Les participants commencent à arriver.

Plan C, on lance une session avec le service Gotometting de Citrix. Arf, ça fait mal à la fibre libriste.

Que dire de tout ça…? Que faire un démonstration du logiciel libre cela peut-être compliqué ! Que l’on aurait dû prévoir deux heures de préparations pour une heure de rendez-vous ? Que l’on a pas eu de chance ? Que Firestorm est un produit communautaire globalement utilisé par des personnes qui sont sous Windows ou Mac OS et qui ne l’utilisent que depuis la maison ? Qu’un éditeur de logiciel aurait probablement fourni des binaires en 64 bits sous forme de packages pour simplifier l’installation ? Qu’ils n’auraient pas utilisé tout un tas de ports exotiques pour communiquer et auraient prévu un mode “http” pour les réseaux d’entreprises ?

Bon pas grand-chose de plus à dire, c’était histoire de partager cette petite aventure avec vous.

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 07/06/2013. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

Original post of Philippe Scoffoni.Votez pour ce billet sur Planet Libre.

Invité en tant que (je cite) "vieux con" à donner la conférence de clotûre de l'édition 2013 du SSTIC, Ludovic Mé, enseignant-chercheur à Supelec Rennes, a axé sa présentation sur les deux points qu'il connaît le mieux : la détection d'intrusions et la formation.

La détection

Le Livre Blanc 2013 donne comme règles d'être capable de détecter et d'obtenir le plus d'informations sur les opposants lors d'intrusions ou d'attaques. Il est donc nécéssaire d'être compétents en matière de détection d'intrusions.

Ludovic Mé a donc présenté rapidement les grands principes de la détection d'intrusions, et notamment la forte présence de faux positifs dans les alertes des IDS. Il a alors proposé comme solution la corrélation d'alertes, au moyen de SIEM. Il a également précisé l'importance des alertes reçues pour obtenir une corrélation plus précise, et de fait l'importance d'avoir de meilleurs [N/H]IDS, et la difficulté de maintenir des règles en concordance avec la politique de sécurité de l'entreprise.

La formation

La deuxième partie de l'exposé de Ludovic Mé a été beaucoup plus intéressante à mon goût, puisqu'elle traitait de l'importance de la formation en matière de sécurité informatique. L'informatique étant tellement présente dans notre vie de tous les jours qu'il est nécéssaire d'apprendre les bonnes pratiques de protection à tous.

Cette formation doit d'abord passer par la sensibilisation à tous les niveaux de la sécurité (logicielle, hardware, physique et organisationnelle) de tous :

• du grand public
• de tous les professionnels (TPE, PME, ...)
• de tous les ingénieurs
• de tous les informaticiens
• de tous les experts SSI

Cette sensibilisation doit commencer au plus tôt, aux alentours du collège ou du lycée, en commencant par la programmation, la culture SI, mais aussi et surtout par la formation des profs, qui ont rarement un bon niveau d'informatique. De même, Ludovic Mé se posait la question de l'importance de l'informatique en classes préparatoires (et même en L3).

Le redressement productif il vient de mecs qui maitrîse les maths, la physique ou l'informatique ?

Enfin, il ne faut pas former qu'à la défense et aux concepts de base de la sécurité. Le Livre Blanc autorisant aujourd'hui des contres-attaques proportionnées aux attaques reçues. Cependant, cette formation à l'attaque doit être maitrisée, et doit être faite conjointement à des instructions sur l'éthique.

 

J'ai beaucoup aimé cette conférence, même si la première partie sur la détection était (à mon goût) un peu moins intéressante. Mais cela vient peut être du fait que je bosse dans les IDS et donc que ce n'était pour moi que des redite. Sinon, c'est vrai qu'il est plutôt bon de parler un peu des IDS dans des conférences plutôt portées sur l'attaque!

Par contre, la dernière partie sur la formation était excellente et concluait très bien le SSTIC puisqu'elle soulevait énormément de questions!

 

On pourra également noter l'intervention de Fred Raynal en fin de conférence :

Je te dis ça de vieux con à vieux con... Enfin, je suis un peu moins vieux, mais un peu plus con! [...]

Original post of Quack1.Votez pour ce billet sur Planet Libre.