Suivez-moi aussi sur Diaspora* ou Twitter 

La récente affaire désormais connue sous le nom de npmgate (voir plus bas si cet événement ne vous dit rien) est encore une illustration à mon sens du danger intrinsèque d’utiliser le produit possédé et/ou contrôlé par un acteur non-communautaire dans sa chaîne de production du Logiciel Libre. J’ai déjà tenté à plusieurs reprises d’avertir mes consœurs et confrères du Logiciel Libre sur ce danger, en particulier au sujet de Github dans mon billet de blog Le danger Github.

L’affaire npmgate

Pour rappel sur cette affaire précise du npmgate, l’entreprise américaine Kik.com a demandé à l’entreprise npm Inc., également société américaine, qui gère le site npmjs.com et l’infrastructure derrière l’installeur automatisé de modules Node.js npm, de renommer un module nommé kik écrit par Azer Koçulu, auteur prolifique de cette communauté. Il se trouve qu’il est également l’auteur d’une fonction left-pad de 11 lignes massivement utilisée comme dépendance dans de très très nombreux logiciels enNode.js. Ce monsieur avait exprimé un refus à la demande de kik.com.

Cette entreprise, qui pour des raisons obscures de droits d’auteur semblait prête à tout pour faire respecter sa stupide demande (elle utilise d’ailleurs elle-même du Logiciel Libre, à savoir au moins jquery, Python, Packer et Jenkins d’après leur blog et en profite au passage pour montrer ainsi sa profonde gratitude à l’égarde de la communauté), s’est donc adressé à npm, inc, qui, effrayée par une éventuelle violation du droit d’auteur, a obtempéré, sûrement pour éviter tout conflit juridique.

Azer Koçulu, profondément énervé d’avoir vu son propre droit d’auteur et sa volonté bafoués, a alors décidé de retirer de la publication sur npmjs.com l’ensemble de ses modules, dont le très utilisé left-pad. Bien que npmjs.com ait apparemment tenté de publier un module avec le même nom, le jeu des dépendances et des différentes versions a provoqué une réaction en chaîne provoquant l’échec de la construction de très nombreux projets.

Sourceforge, Github, npmjs.com et … bientôt ?

Sourceforge, devant un besoin accru de rentabilité et face à la desaffection de ses utilisateurs au profit, on l’imagine, de Github, a commencé à ne plus respecter les prérequis essentiels d’une forge logicielle respectueuse de ses utilisateurs.

J’ai présenté assez exhaustivement les dangers liés à l’utilisation de Github dans une chaîne de production du Logiciel dans mon article de blog le danger Github, à savoir en résumé la centralisation, qui avec de nombreux installeurs automatisés qui vont maintenant directement chercher les différents composants sur Github, si Github vient à retirer une dépendance, il se produira une réaction en chaîne équivalente au npmgate. Et cela n’est qu’une question de temps avant que cela n’arrive.

Autres risques, l’emploi de logiciel propriétaire comme l’outil de suit de bugs de Github issues, la fermeture et la portabilité limitées des données hébergées par eux et l’effet plus insidieux mais de plus en plus réel d’une sorte de fainéantise communautaire, inédite dans  notre communauté dans la recherche de solutions libres à des produits propriétaires existants et hégémoniques, sentiment également ressenti par d’autres.

Le danger de l’acteur non-communautaire

Devant la massification des interdépendances entre les différents projets et le développement important du Logiciel Libre, aujourd’hui rejoint par les principaux acteurs hier du logiciel privateur comme Microsoft ou Apple qui aujourd’hui adoptent et tentent de récupérer à leur profit nos usages, il est plus que jamais dangereux de se reposer sur un acteur non-communautaires, à savoir en général une entreprise, dans la chaîne de création de nos logiciels.

C’est un modèle séduisant à bien des égards. Facile, séduisant, en général peu participatif (on cherche à ce que vous soyez un utilisateur content), souvent avec un niveau de service élevé par rapport à ce que peut fournir un projet communautaire naissant, une entreprise investissant dans un nouveau projet, souvent à grand renfort de communication, va tout d’abord apparaître comme une bonne solution.

Il en va malheureusement bien différemment sur le moyen ou long terme comme nous le prouve les exemples suscités. Investir dans la communauté du Logiciel Libre en tant qu’utilisateur et créateur de code assure une solution satisfaisant tous les acteurs et surtout pérenne sur le long terme. Ce que chacun de nous recherche car bien malin qui peut prévoir le succès et la durée de vie qu’aura un nouveau projet logiciel.

Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Les plus anciens le savent, aujourd’hui (enfin le 26 mars) le site Raspbian France souffle sa deuxième bougie !

Nous le disions l’année dernière, nous le redisons cette année encore, tout ceci, c’est à vous que nous le devons, vous qui nous suivez jour après jour.

Cela fait maintenant deux ans que le site a ouvert et que nous partageons notre passion avec vous par l’intermédiaire d’articles.

La communauté ne cesse d’augmenter !

Cette année s’est révélée meilleure que la première, avec la sortie de deux Raspberry Pi, la Raspberry Pi Zéro et la Raspberry Pi 3. Mais ce n’est pas tout, la communauté s’est considérablement agrandie, et accueille toujours plus de nouveaux curieux !

Sur l’année 2015, Raspbian-France c’est donc :

1 projet, RaspiSMS 2.0

29 articles publiés dont 1 écrit par un lecteur

1 000 commentaires

1 000k visiteurs en 1 an

2 300k pages vues en 1 an

75k visiteurs sur le mois de mars 2015

130k visiteurs estimés sur le mois de mars 2016

 

Qui dit anniversaire, dit cadeau !

Pour célébrer nos deux ans, nous avons décidé d’organiser un petit concours pour vous faire gagner une Raspberry Pi 3. Nous avons donc regardé dans notre article consacré aux accessoires de la Raspberry Pi 3 et nous avons choisi de vous faire gagner le lot suivant :

• Un Raspberry Pi 3
• Une alimentation
• Une carte MicroSD de 16Go

 

Pour tenter de gagner ce lot, c’est simple ! Un simple retweet du tweet suivant ainsi qu’un follow vous inscrit sur la liste des participants.

 

[concours] Pour les 2 ans de @RaspbianFrance tentez de gagner une #RaspberryPi 3, pour jouer : #RT + #Follow => https://t.co/5BdyfklW6M

— Raspbian France (@RaspbianFrance) 28 mars 2016

 

Vous avez du 28 mars au 04 avril (nous clôturerons le concours à midi) pour participer et tenter de gagner la Raspberry Pi 3.

À la fin du délai, nous tirerons au hasard un retweet. L’auteur sera ensuite contacté par message privé Twitter.

Plus beau et plus participatif, Raspbian France évolue

Après deux ans d’existence, nous avons décidé de changer deux trois petites choses sur le site.

Une nouvelle interface plus simple et lisible

Nous avons fait le choix de changer de thème. Ce nouveau thème sera beaucoup plus clair et correspondra plus à l’image que nous souhaitons donner du site.

Un peu plus flat, beaucoup plus léger, ce nouveau thème rendra le site plus pertinent au niveau visuel !

Nous espérons que vous apprécierez autant que nous cette nouvelle charte graphique. Celle-ci sera mise en place dans les heures à venir, alors wait and see

Un forum pour la communauté

De nombreuses personnes nous l’avaient demandé, un forum va voir le jour très prochainement !

Nous avions du mal à gérer la communauté au jour le jour et de nombreuses questions étaient en dehors de notre domaine d’expertise.

Un forum était donc la solution parfaite pour faire intervenir et participer la communauté.

Grâce au forum, les problèmes pourront trouver une réponse beaucoup plus rapidement.

Dans les premiers jours/semaines, nous suivrons de très près l’activité puis nous sélectionnerons les membres les plus actifs et les plus rigoureux afin de les nommer « Modérateurs » du forum. Le modérateur aura pour objectif de réguler le forum et les discussions.

Cet article Pour ses deux ans Raspbian-France vous fait gagner une Raspberry Pi 3 est apparu en premier sur Raspbian-France.

Original post of RaspbianFrance.Votez pour ce billet sur Planet Libre.

Un petit billet pour vous dire que suite à notre campagne réussie en fin d'année dernière, le développement sur notre nouvelle interface de bureau et pour appareils mobiles (Android au minimum, peut-être plus) a commencé.

J'ai tenu a faire la migration de mon blog sur SàT avant pour y faire des billets au fil de l'avancement.

Cette interface va s'appeler « Cagou », en référence à la fois à Kivy qui est utilisé, et à la Nouvelle-Calédonie où Souliane (autre développeur principal) et moi nous sommes rencontrés. Le Cagou (ou Kagou) et un superbe oiseau qui aboie et qui ne vole pas, c'est une espèce malheureusement menacée.

L'interface devrait donc fonctionner sur bureau et appareils mobiles, comme promis, mais ne va pas nécessairement suivre les standards auxquels vous êtes peut-être habitués. Par souci de simplification, l'interface sera similaire sur toutes les plate-formes, aussi elle sera pensée pour fonctionner aussi bien avec un écran tactile qu'avec une souris, et il ne faut pas s'attendre à une intégration graphique avec les applications natives de votre bureau. Par contre une intégration avec les fonctionnalités de la plate-forme (notifications, marque-pages, etc) est voulue.

Ce frontal va être pensé pour fonctionner en plein écran (mais aussi en mode fenêtré), éviter tout ce qui est pop-up ou action perturbante (comme les doubles-clics), et elle ne va pas être centrée sur la liste de contacts. Nous en reparlerons bientôt.

Bien entendu, grâce à l'architecture de SàT, vous pouvez vous attendre à voir rapidement toutes les fonctionnalités déjà implémentées (chiffrement de bout en bout, transfert de fichier en Pair à Pair, publication en différentes syntaxes, etc).

Si vous avez des suggestions, des envies ou idées, c'est le moment d'en discuter, soit en commentant ce billet, soit en venant sur le salon sat@chat.jabberfr.org ou en nous écrivant sur contact@salut-a-toi.invalid (remplacez invalid par org). Vous pouvez également écrire sur Diaspora ou SeenThis.

Original post of Goffi.Votez pour ce billet sur Planet Libre.

Nous allons voir dans ce court article comment obtenir des certificats Let's Encrypt pour des services LemonLDAP::NG. Les chemins d'accès évoqués dans la suite correspondent à une installation de LemonLDAP::NG sur Debian Jessie à partir du paquet officiel fourni sur les dépôts de LemonLDAP::NG.

Étape 1 : obtenir un certificat pour le Manager

Nous allons commencer par autoriser l'accès au dossier .well-known dans lequel Let's Encrypt travaille (pour mémoire, il y place une clé qu'un serveur externe vient interroger, permettant ainsi d'affirmer que le demandeur gère le domaine). D'abord dans la configuration d'Apache, dans le fichier /etc/apache2/sites-available/manager-apache2.conf, nous allons remplacer la ligne

RewriteCond "%{REQUEST_FILENAME}" "!^/(?:static|doc|fr-doc|lib).*"

par

RewriteCond "%{REQUEST_FILENAME}" "!^/(?:static|\\.well-known|doc|fr-doc|lib).*"

Puis, dans le manager lui-même, il faut demander à LemonLDAP::NG de ne pas bloquer l'accès au même dossier .well-known aux utilisateurs non authentifiés. Ainsi, il faut se rendre dans Virtual Hosts -> manager.mondomaine.fr -> Access rule, et ajouter une nouvelle règle :

• Regular expression: ^/\\.well-known
• Rule: skip

Dès lors, Let's Encrypt devrait être capable d'accéder à la clé placée dans .well-known. Nous pouvons donc démarrer le processus avec le client Let's Encrypt :

./letsencrypt-auto certonly --renew-by-default -a webroot --webroot-path /usr/share/lemonldap-ng/manager/ -d manager.mondomaine.fr

Étape 2 : obtenir un certificat pour le portail d'authentification

Facile :

./letsencrypt-auto certonly --renew-by-default -a webroot --webroot-path /var/lib/lemonldap-ng/portal/ -d auth.mondomaine.fr

Étape 3 : obtenir un certificat pour une application placée derrière LemonLDAP::NG

Si l'application est protégée derrière LemonLDAP::NG, il faut commencer par indiquer à LemonLDAP::NG de laisser transiter les requêtes vers le dossier .well-known. A l'image de ce qui a été fait pour le manager, il faut se rendre dans Virtual Hosts -> manager.mondomaine.fr -> Access rule, et ajouter une nouvelle règle :

• Regular expression: ^/\\.well-known
• Rule: skip

Puis tout simplement (si l'application sous-jacente ne filtre pas les accès à .well-known) :

./letsencrypt-auto certonly --renew-by-default -a webroot --webroot-path /var/www/mon-app -d mon-app.mondomaine.fr

Original post of Pierre-Alain Bandinelli.Votez pour ce billet sur Planet Libre.

Pour la 12ème semaine de 2016, voici 5 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Installer facilement un serveur OpenVPN sur Debian, Ubuntu et CentOS
• Impact de la pub sur le temps de chargement des pages web
• Red Hat, le premier acteur Open Source à réaliser 2 milliards de $ de CA annuel
• Drupal 8, rapide comme l'éclair
• 11 lignes de codes qui disparaissent et ce sont des centaines de projets open source qui sont mis à mal

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.