IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

JavaScript Discussion :

Montée en puissance des modules de protestation open source : un autre développeur npm dénonce la Russie


Sujet :

JavaScript

  1. #21
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 377
    Points : 6 125
    Points
    6 125
    Par défaut
    Citation Envoyé par Madmac Voir le message
    Là je ne suis pas d'accord. Parce que c'est comme conduire en état d'ébriété. Agir comme un terroriste, n'est pas un droit. C'est le genre de truc qui risque de créer une riposte. Et créer une forme d'escalade.
    Sauf qu'il s'agit de son code et de sa propriété, même si je ne condamne son acte. On ne parle pas d'un gars qui conduit bourré sur une route publique.

    Et oui, je pense que tu as raison et que ça va créer une riposte/escalade... :/
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  2. #22
    Membre averti
    Profil pro
    Développeur
    Inscrit en
    octobre 2008
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : octobre 2008
    Messages : 94
    Points : 307
    Points
    307
    Par défaut
    Quand le racisme primaire est fait pour "la bonne cause" tout va bien quoi.

    Je comprends qu'on puisse vouloir aider, mais qu'on veuille essayer de nuire en ciblant a la suppose identite du proprietaire c'est vraiment profiter de la situation pour faire le petit c**.. Plus globalement, c'est comme si le monde entier venait subitement de se rendre compte que la guerre c'est mal et triste.. Et aussi comme si tout le monde se sentait un super hero..

    Pourtant je pense pas qu'il y ait eu beaucoup de gens qui ont mal dormit quand il y a eu la guerre en Syrie ou en Tchetchenie. Ou toute les autres guerres d'ailleurs, genre en ce moment en Birmanie par exemple, tu me diras les mecs la bas se sont tellement fait avoir qu'ils risquent pas d'avoir besoin d'un foutu paquet NPM.

  3. #23
    Membre chevronné Avatar de Mister Nono
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2002
    Messages
    2 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2002
    Messages : 2 189
    Points : 1 808
    Points
    1 808
    Par défaut
    Tout cela montre l'importance des tests avant d'utiliser un code.

    Et oui, beaucoup de soi-disant professionnels oublient le "b a ba" du métier, ou alors on ne leur a jamais appris car aujourd'hui on soi-disant-forme des informaticiens en seulement quelques semaines.

    Ici on retrouve l'intérêt des formations longues et sérieuses comme les formations universitaires d'ingénieurs.
    La connaissance ne sert que si elle est partagée.
    http://ms2i.net

  4. #24
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    1 130
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 1 130
    Points : 22 841
    Points
    22 841
    Par défaut Les victimes technologiques de la guerre de la Russie en Ukraine : l'open source et le cloud
    Les victimes technologiques de la guerre de la Russie en Ukraine : l'open source et le cloud,
    la licence Open Source est assez claire : pas de discrimination contre des personnes ou des groupes

    Tetiana, 43 ans, Mykyta, 18 ans, Alisa, 9 ans, la liste des victimes civils ne cessent de s’alloudir en Ukraine. Trois semaines après le début de l’invasion russe en Ukraine, au moins 726 civils dont 52 enfants ont été tués et plus de 1 250 blessés, selon le dernier décompte de l’ONU du 17 mars. Derrière ces chiffres accablants et le flot incessants d’images des combats, il existe également « des victimes technologiques » de la guerre en Ukraine. Selon Gerald Benischke, consultant en ingénierie logicielle, l'open source et le cloud seraient deux de ses nombreuses victimes.

    Dans un article intitulé On the Weaponisation of Open Source, Gerald Benischke examine comment l'invasion de l'Ukraine par la Russie s'est répercutée sur les domaines du développement logiciel, avec des conséquences inattendues. Benischke s'intéresse en particulier à la décision de MongoDB de couper ses services en Russie, au changement destructeur d'une bibliothèque de nœuds qui a supprimé des fichiers sur des IP russes, et même à un changement de code/licence dans un module terraform communautaire pour affirmer que Poutine est une « tête de nœud ».

    Nom : open sourceB.png
Affichages : 4897
Taille : 145,9 Ko

    MongoDB coupe les clients russes et déclare : « Nous avons le regret de vous informer qu'en raison des nouvelles sanctions américaines et internationales à l'encontre de la Russie et de la Biélorussie, votre atlas MongoDB, environnement......, sera résilié. Si vous avez des données importantes, nous vous conseillons de télécharger des sauvegardes immédiatement avant qu'elles ne deviennent définitivement irrécupérables », déclare MongoDB.

    « Vous vous demandez à quoi pourrait ressembler votre système informatique si d'autres fournisseurs IaaS, PaaS et SaaS décidaient de vous fermer. Et si AWS décidait de fermer votre compte ? Dans quelle mesure votre dépendance à l'égard du cloud est-elle critique pour votre entreprise ? », interroge Oleg Brodt, Directeur de l'innovation, Cyber@Ben-Gurion University.

    Nom : mongoTweet.jpg
Affichages : 4068
Taille : 49,7 Ko

    Notons que MongoDB est un système de gestion de bases de données orienté documents, répartissable sur un nombre quelconque d'ordinateurs et ne nécessitant pas de schéma prédéfini des données. Il permet de manipuler des objets structurés au format BSON (JSON binaire), sans schéma prédéterminé. Il est écrit en C++. Le serveur et les outils sont distribués sous licence SSPL.

    Selon certains témoignages, MongoDB est une technologie qui change la vie de nombreux développeurs, leur permettant de créer des applications plus rapidement qu'avec des bases de données relationnelles. Cependant, MongoDB a abandonné ses racines Open Source, en changeant la licence en SSPL, ce qui le rend inutilisable pour de nombreux projets Open Source et commerciaux.

    Selon le consultant en ingénierie logicielle Gerald Benischke, il y aurait un peu d'incohérence dans le secteur technologique pour savoir si une offre SaaS et le paiement d'un abonnement équivalent à une nouvelle vente, mais je pense que c'est dans l'esprit des sanctions, rendre difficile l'activité des entreprises russes.

    Mongo est une entité commerciale et, en tant que telle, elle peut choisir à qui vendre ses produits. Bien que Benischke déclare son accord avec la décision de MongoDB de se couper des clients russes, le consultant indique que, « cela pose une question intéressante ». « Qu'arriverait-il à votre organisation si un fournisseur de services disparaissait ? Je ne pense pas que cela signifie que nous devions tous nous précipiter pour construire nos propres centres de données, écrire nos propres bases de données et exécuter tous nos propres services.

    « La simplification et l'optimisation de l'utilisation du logiciel en tant que service ne doivent pas être négligées. Toutefois, il n'est pas inutile d'être prudent et de procéder à une évaluation des risques pour savoir ce qui se passerait si le service disparaissait. Encore une fois, je ne pense pas que cela doive être considéré comme une incitation à tout exécuter en multi-cloud, car je pense que l'augmentation globale de la complexité réduirait en fait la fiabilité. »

    Le développeur à l'origine du populaire paquet npm node-ipc a expédié ce mois-ci une nouvelle version pour protester contre l'invasion de l'Ukraine par la Russie. Mais les changements ont introduit un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Néanmoins, cet acte de sabotage a suscité de nouvelles inquiétudes quant à la sécurité de la chaîne d'approvisionnement des logiciels et des logiciels libres.

    Notons que, node-ipc est un module Node.js pour « la communication interprocessus locale et distante » avec un support complet pour Linux, Mac et Windows. Il supporte également toutes les formes de communication par socket, des sockets bas niveau d'Unix et de Windows aux sockets UDP et sécurisés TLS et TCP. Avec plus de 1,1 million de téléchargements hebdomadaires, node-ipc est un paquet important utilisé par des bibliothèques majeures comme Vue.js CLI.

    Cependant, le développeur de node-ipc, Brandon Nozaki Miller, a saboté le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Biélorussie, en vue de militer contre l'invasion russe en Ukraine. Sous le nom de « protestware », la dépendance peacenotwar a été injectée dans des dépendances qui affectaient vuejs cli (et unreal unity selon certains rapports). peacenotwar vérifie l'adresse IP de l'ordinateur sur lequel il s'exécute et, s'il est considéré comme se trouvant en Russie, supprime tous les fichiers.

    « Cette histoire est un peu plus sinistre », déclare Benischke. Maintenant, les attaques de la chaîne d'approvisionnement contre les modules de nœuds n'ont rien de nouveau. Il ne se passe pas beaucoup de mois sans que l'on entende parler parler d'un module de nœud détourné qui installe des portes dérobées ou des cryptomonnaies. « Je pense que l'on peut tous se mettre d’accord pour dire que ces attaques sont malveillantes et que les actions sont celles de criminels. Ces actions doivent être condamnées, d'autant plus que le fait de "supprimer des fichiers en fonction des adresses IP de géofencing" risque de provoquer des dommages collatéraux. »

    « Je ne sais pas quelle est la part de vérité dans la question soulevée sur le dépôt peacenotwar selon laquelle une ONG américaine a perdu 30 000 fichiers documentant les crimes de guerre russes - mais il faut se rappeler que la géolocalisation n'est pas toujours juste », précise le consultant en ingénierie informatique.
    Des preuves anecdotiques d'erreurs d'identification d'adresses IP font de cette arme une arme très aveugle. On pourrait réfléchir au fait que si les bombardements massifs de cibles civiles par les forces armées russes doivent être abhorrés, l'effacement global des fichiers dans la plage d'adresses IP de la Russie n'est pas exactement une action ciblée.

    « Enfin, j'aimerais revenir sur une histoire selon laquelle les modules terraform de la communauté pour AWS ont été mis à jour pour inclure des déclarations politiques », déclare Benischke. Il y aurait d'abord eu une modification de la licence « Conditions d'utilisation supplémentaires pour les utilisateurs de Russie et du Belarus ».

    En utilisant le code fourni dans ce dépôt, vous acceptez ce qui suit :

    • La Russie a illégalement annexé la Crimée en 2014 et a apporté la guerre dans le Donbas suivie d'une invasion à grande échelle de l'Ukraine en 2022 ;
    • La Russie a apporté de la tristesse et des dévastations à des millions d'Ukrainiens, tué des centaines d'innocents, endommagé des milliers de bâtiments et forcé plusieurs millions de personnes à fuir ;
    • Poutine khuylo !
    En outre, cette acceptation a été incluse dans le code :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    variable "putin_khuylo" {
       description = "Do you agree that Putin doesn't respect Ukrainian sovereignty and territorial integrity? More info: https://en.wikipedia.org/wiki/Putin_khuylo!"
       type        = bool
       default     = true
    }

    En mettant la variable à false, le module de terraformation ne fonctionnerait pas. Selon Benischke, c'est problématique sur deux fronts :

    1. Cela ne devrait plus être classé désormais comme open source ;

      La définition d'une licence Open Source est assez claire : « Je n'ai pas vraiment envie de devoir lire chacune de mes licences de dépendances et de dépendances transitives pour déterminer si j'accepte des termes discriminatoires en utilisant une bibliothèque. » « Je pense qu'il est tout à fait indésirable de politiser/armer l'open source de cette façon. Selon le type d'organisation avec laquelle vous travaillez, il pourrait être totalement inacceptable et hors de portée des permissions pour un ingénieur d'accepter ce genre de contrats. Je ne peux pas imaginer qu'une agence gouvernementale veuille découvrir que le logiciel qu'elle utilise lui impose une certaine position politique. »

      • Qu'en est-il d'une licence qui exige que vous vous absteniez de manger de la viande ou que vous la souteniez ?
      • Qu'en est-il d'un permis qui exige que vous soyez pro-vie/pro-choix ?
      • Qu'en est-il d'une licence qui exige que vous votiez démocrate/républicain ?

    2. Cela ne pourrait pas s'appliqué ;

      Certains analystes soutiennent qu'il n'est pas pratique d'encoder la moralité dans les licences, car elle serait de toute façon soit ignorée, soit bifurquée. La licence JSON « Le logiciel doit être utilisé pour le bien et non pour le mal » est inapplicable, et les licences sont conçues avec la clause 6 à l'esprit : « Pas de discrimination contre les domaines d'activité » afin d'éviter les pièges des licences provenant de dépendances en aval.

      Selon Gerald Benischke, le résultat du changement putin_khuylo est que ce module terraform AWS ne peut plus remplir aucune de ces clauses et ne peut donc plus être classé comme open source. L'auteur de la modification en aurait discuté sur Hacker News et a depuis changé la clause en « Informations supplémentaires » plutôt qu'en « Conditions générales supplémentaires » mais la modification du code putin_khuylo reste dans le module.

      Selon Gerald Benischke, cela soulève des interrogations sur la « sécurité » de ces composants. Il semble que ces modifications aient été apportées directement dans la branche principale sans demande de révision, ce qui suggère un manque de processus de révision. Ces actions ont eu un impact négatif sur la confiance dans les mainteneurs. Et cela amène à se demander si l'utilisation de ces composants est sûre.

      De plus, du point de vue des licences, certaines organisations ont des directives concernant les licences autorisées. Ainsi, si l'on peut démontrer que le code enfreint les clauses de la licence, est-il toujours possible de l'utiliser en toute sécurité ? Certaines histoires de guerre sur la suppression frénétique de bibliothèques sous GPL "infectieuses" font penser que les avocats pourraient avoir une journée de travail.
    Le problème des dépendances dans l'ingénierie logicielle moderne est que seules les plus grandes organisations ont les ressources nécessaires pour écrire toutes leurs propres bibliothèques (par exemple Google, mais d'autres organisations comme Goldman Sachs serait également dans cette catégorie). La plupart des organisations n'ont tout simplement pas la capacité de tout écrire à partir de zéro, et ce pour une bonne raison : l'objectif de l'open source est la collaboration et la réutilisation, il doit y avoir une certaine confiance.

    Imaginons une organisation où il y a des centaines d'équipes et des milliers de microservices. Et essayons de réfléchir à la manière dont on peut évaluer le risque de milliers de dépendances et de millions de lignes de code. « Sans confiance, le seul moyen d'y parvenir serait de forker toutes les librairies, d'empêcher l'open source et, plus généralement, de tuer toute agilité et toute vélocité », déclare Benischke.

    Nom : WarB.png
Affichages : 3985
Taille : 317,2 Ko

    La Russie est sur le coup de nombreuses sanctions : la chaîne d'information russe RT (Russia Today) a dû se retourner vers la plateforme de vidéo en ligne Rumble sur laquelle elle poursuivra ses diffusions. Google a procédé au blocage des applications mobiles liées à RT et Sputnik sur sa boutique d’applications Play en Europe, les spécialistes de la filière IT ne peuvent partir du pays ou subvenir à leurs besoins en raison des restrictions imposées par Visa et Mastercard, etc. Red Hat a allongé la liste et fait l’annonce de l’interruption de ses ventes et services en Russie et en Biélorussie. La Russie pour sa part envisage de légaliser le piratage de logiciels dans certains cas afin d’atténuer les sanctions.

    Je [Paul Cormier - président et CEO de Red Hat] suis sûr de parler au nom de tous lorsque je dis que la guerre qui se déroule en Ukraine est déchirante. En tant qu'entreprise, nous sommes unis à toutes les personnes touchées par la violence et nous condamnons l'invasion de l'Ukraine par l'armée russe. Nous ajoutons nos voix à celles qui appellent à la paix et nous continuerons à travailler pour assurer la sécurité de nos associés touchés et de leurs familles de toutes les manières possibles.

    Le géant des logiciels d'entreprise Oracle a déclaré qu'il avait suspendu toutes ses opérations en Russie, tandis que son rival SAP a annoncé plus tard qu'il suspendait toutes ses ventes dans le pays à la suite de l'invasion de l'Ukraine par Moscou. Les sanctions économiques contre la Russie sont un mécanisme important dans les efforts pour restaurer la paix. SAP est en échange constant avec les gouvernements du monde entier, « nous avons toute confiance en leurs conseils et nous soutenons pleinement les actions entreprises jusqu'à présent. Nous cessons toute activité en Russie alignée et en outre, nous interrompons toutes les ventes de services et de produits SAP en Russie ».

    La Russie est aujourd'hui confrontée à une grave crise du stockage informatique après le retrait des fournisseurs occidentaux de services cloud, ce qui ne laisse à la Russie que deux mois avant d'être à court de stockage de données. Le gouvernement russe se prépare à cette pénurie de capacités informatiques, qui pourrait entraîner dans les prochains mois des problèmes de fonctionnement des systèmes d'information de l'État. Selon les médias russes, les autorités sont prêtes, si nécessaire, à racheter la capacité des centres de données commerciaux et à reprendre les ressources informatiques des entreprises qui ont annoncé leur retrait de la Fédération de Russie. Pour l'instant, le ministère du numérique a indiqué « qu'il analyse la situation ».

    Les exploitants de centres de données soulignent qu'ils ont eux-mêmes besoin d'aide : les prix des systèmes de stockage et des serveurs ont explosé, les banques n'accordent pas de prêts et la chaîne logistique est perturbée. Si le gouvernement décide de pressurer le secteur privé, les experts estiment que les services de divertissement seront les premiers à en souffrir.

    En début de semaine, la passerelle open source Scarf a commencé à limiter l'accès aux paquets open source pour les entités gouvernementales et militaires russes, via sa passerelle. Dans l'annonce de la société, le PDG et fondateur de Scarf, Avi Press, a écrit que « Scarf bloquera tous les téléchargements de paquets et de conteneurs provenant de sources gouvernementales russes jusqu'à nouvel ordre. »

    L'entreprise n'est pas la seule à prendre une telle mesure cette semaine, Oracle ayant suspendu toutes ses opérations dans la Fédération de Russie, Hashicorp ayant interdit l'accès à ses produits et Apple ayant arrêté toutes ses ventes en Russie. Il y en a eu beaucoup d'autres, mais les actions de Scarf, MongoDB ou encore RPM se distinguent dans la mesure où la restriction s'applique ici aux logiciels libres, et non aux logiciels propriétaires.

    En ce qui concerne les logiciels libres, la définition de l'Open Source Initiative est très claire : il ne doit y avoir « aucune discrimination à l'encontre de personnes ou de groupes et aucune discrimination à l'encontre de domaines d'activité ». Chacun de ces critères s'applique à la licence dudit logiciel open source, tandis que la distribution de ce même logiciel peut être une question totalement différente, fait valoir Avi Press.

    « Je pense qu'il faut résister à la tentation d'utiliser les projets open source comme des armes contre la Russie car cela crée un dangereux précédent et peut finalement faire reculer le mouvement open source et pousser les organisations à chercher refuge dans les logiciels commerciaux avec toute leur opacité et leur obscurité » conclu Gerald Benischke.

    Source : Article de Gérald Benischke

    Et vous ?

    Quel est votre avis sur le sujet ?

    Gerald Benischke préconise de « résister à la tentation d'utiliser les projets open source comme des armes contre la Russie », qu’en pensez-vous ?

    Voir aussi :

    Un paquet npm compromis par l'auteur efface les fichiers sur les ordinateurs russes et biélorusses lors de l'installation, pour protester contre l'invasion de l'Ukraine par la Russie

    Red Hat interrompt ses ventes et ses services en Russie et en Biélorussie dans un contexte où la Russie envisage de légaliser le piratage de logiciels dans certains cas, afin d'atténuer les sanctions

    Plus que deux mois et la Russie se retrouvera sans stockage de données, le Pays est en passe d'être confrontée à une crise informatique

    Les grandes entreprises technologiques se retirent de Russie, dont Google, Apple, Samsung, Netflix et Spotify, cela pourrait créer une opportunité pour les entreprises chinoises comme Xiaomi
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  5. #25
    Membre chevronné
    Homme Profil pro
    Ingénieur en génie logiciel
    Inscrit en
    juin 2012
    Messages
    729
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Ingénieur en génie logiciel
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juin 2012
    Messages : 729
    Points : 2 050
    Points
    2 050
    Par défaut
    je trouve que ça démontre juste le risque d'opter pour du cloud et du privé

    me semble de voir le tollé que ça ferait en France si une société déciderait de couper une technologie à une entreprise Israélienne, car Israël massacre les palestiniens depuis 70 ans et que c'est un état raciste...
    https://www.journaldemontreal.com/20...la-citoyennete

  6. #26
    Membre averti Avatar de zabibof
    Inscrit en
    février 2007
    Messages
    188
    Détails du profil
    Informations forums :
    Inscription : février 2007
    Messages : 188
    Points : 344
    Points
    344
    Par défaut
    Tout ceci montre à quel point il est facile d'être "vertueux" quand on en a les moyens. On peu fanfaronner que la censure c'est mal, vive la liberté etc. Mais quand nos émotions sont bousculés ou bien sous certaines pressions, il est très facile de faire taire ces principes et regarder ailleurs, c'est propre à l'Homme.

  7. #27
    Membre expérimenté Avatar de denisys
    Profil pro
    Développeur informatique
    Inscrit en
    mai 2002
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mai 2002
    Messages : 1 047
    Points : 1 628
    Points
    1 628
    Par défaut
    Vue la merde vérolé que npm est , sans la moindre invasion de que qui ce soit , chez qui que ce soit.
    Heureusement, que la guerre en Ukraine, passé par là, pour justifier, le bien fondé de cette glorieuse merde !!!
    Ne pas savoir n’est pas une faute si l’on cherche à combler ses lacunes.

    "Il n'y a pas d'obstacles infranchissables , il y a des volontés plus ou moins énergiques voilà tous" Jules Vernes

  8. #28
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 327
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 327
    Points : 4 587
    Points
    4 587
    Par défaut
    Tout est affaire de mesure...

    Par le passé le développeur de Notepad++ a utilisé son logiciel pour prendre des positions politiques, c'était discutable mais encore acceptable

    Piéger un logiciel en opensource ou non est tout simplement inacceptable et criminel !

    Les arguments "il est propriétaire de son code, il en fait ce qu'il veut" et "c'est de l'open source... C'est de la responsabilité de l'utilisateur de vérifier le code" relèvent de la plus profonde hypocrisie.

    Aucun utilisateur, je dis bien aucun, ne vérifie le code d'un logiciel open source pour la simple raison que c'est possible mais irréalisable: une journée a 24 heures et rares sont ceux qui auraient la capacité technique de le faire. Si je devais vérifier le code d'un Libre Office à chaque apparition d'une version, autant développer mon propre Office, cela prendra moins de temps!

    L'abruti qui a saboté son logiciel en open source a simplement fait une publicité extrêmement négative de l'open source en général

    Le succès de l'open source reposait sur la confiance. Avec cette affaire, la confiance n'a plus cours...

  9. #29
    Membre averti
    Profil pro
    Développeur
    Inscrit en
    octobre 2008
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : octobre 2008
    Messages : 94
    Points : 307
    Points
    307
    Par défaut
    Citation Envoyé par Mister Nono Voir le message
    Tout cela montre l'importance des tests avant d'utiliser un code.

    Et oui, beaucoup de soi-disant professionnels oublient le "b a ba" du métier, ou alors on ne leur a jamais appris car aujourd'hui on soi-disant-forme des informaticiens en seulement quelques semaines.

    Ici on retrouve l'intérêt des formations longues et sérieuses comme les formations universitaires d'ingénieurs.
    Parce que toi en bon professionel qui a passe un tier de sa vie a faire semblant d'ingurgiter des trucs sans interet, tu test les libraries externes que tu utilise peut-etre???

  10. #30
    Membre expérimenté
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2021
    Messages
    640
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2021
    Messages : 640
    Points : 1 674
    Points
    1 674
    Par défaut
    Citation Envoyé par Anselme45 Voir le message
    Tout est affaire de mesure...

    Par le passé le développeur de Notepad++ a utilisé son logiciel pour prendre des positions politiques, c'était discutable mais encore acceptable

    Piéger un logiciel en opensource ou non est tout simplement inacceptable et criminel !

    Les arguments "il est propriétaire de son code, il en fait ce qu'il veut" et "c'est de l'open source... C'est de la responsabilité de l'utilisateur de vérifier le code" relèvent de la plus profonde hypocrisie.

    Aucun utilisateur, je dis bien aucun, ne vérifie le code d'un logiciel open source pour la simple raison que c'est possible mais irréalisable: une journée a 24 heures et rares sont ceux qui auraient la capacité technique de le faire. Si je devais vérifier le code d'un Libre Office à chaque apparition d'une version, autant développer mon propre Office, cela prendra moins de temps!

    L'abruti qui a saboté son logiciel en open source a simplement fait une publicité extrêmement négative de l'open source en général

    Le succès de l'open source reposait sur la confiance. Avec cette affaire, la confiance n'a plus cours...
    +1000 C'est même plus simple que ça : Piéger un logiciel, c'est fabriquer un logiciel malveillant. Un logiciel open-source malveillant n'est pas moins malveillant qu'un logiciel malveillant "propriétaire" .

    Et l'argument "il est propriétaire du code" s'applique aussi dans le cas d'un crack piégé, ou d'une fausse mise à jour, ou même d'un ransomware...

  11. #31
    Membre expérimenté
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2021
    Messages
    640
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2021
    Messages : 640
    Points : 1 674
    Points
    1 674
    Par défaut
    Citation Envoyé par zabibof Voir le message
    Tout ceci montre à quel point il est facile d'être "vertueux" quand on en a les moyens. On peu fanfaronner que la censure c'est mal, vive la liberté etc. Mais quand nos émotions sont bousculés ou bien sous certaines pressions, il est très facile de faire taire ces principes et regarder ailleurs, c'est propre à l'Homme.
    Dans le cas de ce développeur, ça semble surtout être une personne sous influence du matraquage médiatique sur la guerre en Ukraine. Ce genre de réaction me rappelle les réactions sous les régimes politiques faisant l'apologie de la haine, où on assiste à une inversion des valeurs. D'ailleurs, la propagande anti-russe du moment utilise les mêmes ressorts que la cancel-culture, ce qui donne raison à tous ceux qui alertaient sur le caractère haineux de ce genre de mouvement...

  12. #32
    Membre extrêmement actif
    Avatar de Madmac
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juin 2004
    Messages
    1 493
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Alimentation

    Informations forums :
    Inscription : juin 2004
    Messages : 1 493
    Points : 1 295
    Points
    1 295
    Billets dans le blog
    7
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Sauf qu'il s'agit de son code et de sa propriété, même si je ne condamne son acte. On ne parle pas d'un gars qui conduit bourré sur une route publique.

    Et oui, je pense que tu as raison et que ça va créer une riposte/escalade... :/
    Mais le type qui conduit SA voiture. Cela n'en fait pas pour autant un acte légal.

    Imagine les conséquences, si son code est utilisé pour un régistre médical. Il n'y aura jamais d'alternative à Microsoft ou Apple, si on ne fais rien pour interdire ce genre de chose. Si j'étais en position de responsabilité pour le code libre, ce type perdrait son droit de contribuer.

  13. #33
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 377
    Points : 6 125
    Points
    6 125
    Par défaut
    Citation Envoyé par Madmac Voir le message
    Mais le type qui conduit SA voiture. Cela n'en fait pas pour autant un acte légal.
    Je ne dis pas qu'il a raison et que je suis d'accord avec lui, je dis que c'est sa licence.

    Citation Envoyé par Madmac Voir le message
    [...] Si j'étais en position de responsabilité pour le code libre, ce type perdrait son droit de contribuer.
    Je ferais pareil que toi.

    Citation Envoyé par OrthodoxWindows Voir le message
    Dans le cas de ce développeur, ça semble surtout être une personne sous influence du matraquage médiatique sur la guerre en Ukraine. Ce genre de réaction me rappelle les réactions sous les régimes politiques faisant l'apologie de la haine, où on assiste à une inversion des valeurs [...]
    Oui, c'est le genre de comportement que je décrivais l'autre jour avec les références aux camps américains pour les citoyens US d'origine Japonaise pendant la guerre.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  14. #34
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    1 520
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 1 520
    Points : 44 462
    Points
    44 462
    Par défaut Les modules de protestation open source destructeurs nuisent au mouvement open source, selon l'OSI
    « Les modules de protestation open source destructeurs nuisent au mouvement open source dans son ensemble », lance l’Open Source Initiative
    Dans le contexte de l’opération militaire russe en Ukraine

    Le développeur à l'origine du populaire paquet npm "node-ipc" a sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ? L’Open Source Initiative recommande aux mainteneurs de se limiter à des contenus textuels de protestation. Le cas Notepad++ enseigne que même cette approche est susceptible de fragiliser l'open source.

    L’Open Source Initiative (OSI) réitère sa position sur l’opération militaire russe en Ukraine : l’organisation condamne. Elle attire cependant l’attention sur les modules de protestation open source destructeurs qui « nuisent au mouvement open source dans son ensemble. » L’OSI recommande aux mainteneurs de projet open source de se limiter à des contenus textuels de protestation.

    L’intégralité du commentaire de l’OSI

    Cette semaine marque un mois depuis le début de la guerre de Poutine contre l'Ukraine. Nous avions alors exposé la position de l'OSI - l'OSI condamne l'attaque de l'Ukraine par l'armée russe sous la direction de Vladimir Poutine - mais un nouveau développement a un impact direct sur la communauté open source et justifie un nouveau commentaire.

    Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

    Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

    La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

    Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

    Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

    Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

    À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient.

    Même les contenus textuels peuvent mettre à mal l’open source

    C’est ce qu’enseigne le cas Notepad++. La mouture 7.8.1 disponible a fait coulé beaucoup d’encre sur les réseaux sociaux en en raison de ce qu’elle porte le nom de baptême « Free Uyghur. » L’image sur le compte Twitter dédié à l’application donne quelques indices au travers des habituels mots clés qui accompagnent les publications : Chine, violation des droits de l’homme.

    Nom : 1.png
Affichages : 3461
Taille : 24,9 Ko

    Le texte qui accompagne le logiciel sur le site dédié est quant à lui plus clair :

    « Les droits de l'homme en Chine sont toujours un sujet très controversé. Depuis 2017, de nombreuses informations font état de détentions extrajudiciaires dans des "camps de rééducation", d'endoctrinement politique et parfois même de tortures de la population ouïghour. Selon les estimations de 2018, le nombre de détenus s'élèverait à des centaines de milliers.

    Les Ouïghours ne sont pas d'origine ethnique chinoise, mais vivent dans la région dite autonome du Xinjiang en Chine. Le nom de la région suggère que les Ouïghours jouissent de l'autonomie. Mais tout comme le Tibet, le Xinjiang est une région de Chine étroitement contrôlée. Après le récent conflit du Xinjiang, Pékin a transformé le groupe ethnique ouïghour en un collectif terroriste. Cela a permis à Pékin de justifier sa transformation du Xinjiang en un État sous surveillance. L'islamophobie a également connu une hausse marquée dans toute la Chine.

    Au moins 120 000 membres de la minorité ouïghour musulmane de Kashgar ont été détenus dans les camps de rééducation du Xinjiang qui visent à changer la pensée politique des détenus, leur identité et leurs convictions religieuses. Les rapports du Congrès mondial ouïghour soumis aux Nations Unies en juillet 2018 indiquent qu'un million d' Ouïghours sont actuellement détenus dans les camps de rééducation.

    Le fait que de telles informations vous parviennent est déjà une action en soi. Vous pouvez à votre tour faire participer plus de personnes pour qu'ils se concentrent sur cette question et, espérons-le, exercent des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

    Le fait que vous venez d'apprendre de telles informations est déjà une action en soi. Mais vous pouvez faire participer plus de gens pour qu'ils se concentrent sur cette question et, espérons-le, exercer des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

    Les gens me diront encore une fois de ne pas mélanger la politique avec le logiciel/les affaires. Adopter un tel positionnement a certainement un impact sur la popularité de Notepad+++ même s'il faut noter que parler de politique est exactement ce que les entreprises dans cette filière essaient généralement d'éviter. Le problème, c'est que si nous ne nous occupons pas de politique, la politique s'occupera de nous. Nous pouvons choisir de ne pas agir quand les gens sont opprimés, mais quand arrivera notre tour, il sera trop tard et il n'y aura peut-être personne pour prendre position pour nous. Il n'est pas nécessaire d'être ouïghour ou musulman pour agir, il suffit d'être humain et d'avoir de l'empathie pour nos semblables. D'où la sortie de la présente version de Notepad++ avec pour nom de baptême Free Uyghur. »

    Une prise de position politique qui divise

    Sur GitHub, les réactions des internautes chinois s’apparentent à un véritable raz de marée avec, dans l’ensemble, un dénominateur commun : beaucoup d’hostilité vis-à-vis de l’éditeur de l’application au motif de ce que sa prise de position s’appuie sur de fausses nouvelles propagées par des médias occidentaux au sujet de la minorité ouïghour.

    « Les nouvelles concernant la persécution des Ouïghours par la Chine sont un mensonge inventé par des médias tels que la BBC et CNN. Si vous n'êtes pas allé en Chine pour en faire l'expérience vous-même, vous utiliserez le ouï-dire comme conclusion. C'est une paralysie de la liberté humaine et de la démocratie. Le Xinjiang est confronté à la menace du terrorisme. Est-ce votre soutien à ces actes terroristes ? Le Xinjiang a fait beaucoup d'efforts pour protéger les gens du terrorisme. N'aidez-vous pas les gens à se tenir à l'écart de la menace d'une vie en danger ? Lutter contre le terrorisme, c'est protéger les droits de l'homme.

    En tant qu'excellent logiciel dans le domaine technique, vous ne devriez pas toucher à des sujets qui sont politiquement incorrects. Pouvez-vous publier des propos racistes aux États-Unis ? Pouvez-vous louer les nazis en Allemagne ? La politique ne devrait pas envahir le monde de la technologie. Je suis très déçu que vous preniez les fake news pour des faits », lit-on.

    C’est sur Twitter que Don Ho a récolté le plus de soutiens dans ce qui s’apparente désormais à une rixe entre Occidentaux et Chinois.

    Nom : 2.png
Affichages : 2709
Taille : 48,2 Ko

    « Quand vous êtes attaqué par les bots et les wumao, cela signifie que vous avez fait ce qu'il fallait. Votre courage de soutenir la juste cause doit être salué. J'attends avec impatience la prochaine édition avec pour nom de baptême Stand with Hong Kong », a lancé un internaute.

    Des élans de nationalisme font surface autour de l’open source

    La Chine a officialisé une alternative à GitHub – le service web américain d’hébergement et de gestion de logiciels – au cours de l’année 2020. Gitee compte 9 ans d’existence en Chine. Une sortie d’un responsable de Huawei en lien avec ce développement en dit long sur l’objectif : « Si la Chine ne dispose pas de sa propre communauté open source pour maintenir et gérer les projets, notre industrie nationale du logiciel sera très vulnérable à des facteurs incontrôlables. » L’intervention de Wang Chenglu pointe du doigt les sanctions à répétition des autorités américaines.

    Ces mesures peuvent à juste titre être perçues comme une extension de celles qui découlent de la guerre commerciale entre les USA et la Chine. En effet, à mi-parcours du mois de mai 2019, le président Donald Trump a signé un décret qui établit les bases pour empêcher des entreprises de télécommunications chinoises telles que Huawei de vendre du matériel aux États-Unis. La mesure visait à neutraliser la capacité de la Chine à compromettre les réseaux sans fil et les systèmes informatiques américains de la prochaine génération. L’ordonnance interdit l’achat ou l’utilisation de toute technologie de communication produite par des entités contrôlées par « un adversaire étranger » susceptible de saboter des systèmes de communication américains ou de créer des « effets catastrophiques » sur l’infrastructure américaine.

    Y faisant suite, le ministère américain du Commerce a pris une mesure connexe qui interdit aux entreprises américaines de vendre des composants et des logiciels à Huawei et à 70 de ses affiliés (désormais inscrits sur la liste américaine d’entités à bannir) sans autorisation. Avec le verrouillage des comptes d’utilisateurs de Crimée et d’Iran, on en découvre une nouvelle facette.

    L’officialisation de Gitee a un bon côté : elle vient créer de la concurrence dans un secteur des services en ligne dominé par les plateformes US. Elle n’échappe cependant pas à la dualité, la Chine étant connue comme le pays où la fiction Big Brother de 1984 tend à devenir réalité. Avec ses 10 millions de dépôts, les autorités chinoises positionnent déjà Gitee comme deuxième plus grosse plateforme d’hébergement et de gestion de projets logiciels open source. Les murs ne cessent de s’élever de part et d’autre et avec eux le risque que l’on s’achemine de plus en plus vers la fin du rêve d’Internet : communication sans frontières et connaissance pour tous.

    Source : OSI

    Et vous ?

    Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
    L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?
    Doit-on encourager la multiplication d’initiatives comme Gitee ?

    Voir aussi :

    Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

    La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

    Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

    Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  15. #35
    Membre du Club
    Homme Profil pro
    je ne suis pas en recherche d'emploi
    Inscrit en
    décembre 2012
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 81
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : je ne suis pas en recherche d'emploi
    Secteur : Conseil

    Informations forums :
    Inscription : décembre 2012
    Messages : 16
    Points : 53
    Points
    53
    Par défaut L'apprenti sorcier pave un nouvel enfer .
    Une simple réflexion : l'internet n'a pas été conçu comme une arme ... il y aura toujours des ... pour tuer à coups de marteau , c'est triste

    Indépendamment de toute condition "Morale", la justification de nos actes en fin de compte s'avère toujours à géométrie variable selon les croyances locales qui sont les nôtres.

    Mais : la fin ne justifie jamais les moyens : croire que des actes violents peuvent être une solution mène à la barbarie en ligne droite.

    La destruction d'un outil commun au service de l'échange des idées et de la science entre communautés s'avère une catastrophe qui pourrait être bien plus importante que les conséquences d'une guerre locale .

    L'outil informatique qui actuellement contrôle l'enseignement , la police , les armées , la médecine, l'astronautique ... en fait la sécurité de tous : est menacé gravement par le sabotage des données.

    Que ferons-nous si l'internet nous détruit les fruits de notre travail ?
    Combien y aura-t-il de morts causées par l'absence d'une information cruciale au moment critique ?

    Empoisonner un puits dans le désert est une peccadille en comparaison.

    Je n'ignore pas que dans le feu de la colère on puisse faire n'importe quoi , nous sommes tous des humains ; nous ne sommes que des humains après tout.

    Mais nous devons nous souvenir qu'avec un clavier nous avons de fait dans les mains une arme de destruction massive potentielle.
    Toutefois , nous n'aurons aucune excuse si nous nous en servons.

    Un grand pouvoir exige une grande responsabilité.

    L'internet a permis l'envol de la pensée , il ne doit pas devenir son tombeau ...

    Paradoxalix

  16. #36
    Membre éclairé
    Homme Profil pro
    CAO/DAO/Ingénierie Electrotechnique/Administrateur Système et Cloud
    Inscrit en
    décembre 2014
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : CAO/DAO/Ingénierie Electrotechnique/Administrateur Système et Cloud

    Informations forums :
    Inscription : décembre 2014
    Messages : 374
    Points : 818
    Points
    818
    Par défaut
    Citation Envoyé par walfrat Voir le message
    Comme si dans les annéees 80/90, tout les développeurs relisaient l'entièreté du code qu'ils intégraient.

    En outre aujourd'hui la "pile" qu'on intègre est sans conteste 100 fois plus grosses qu'a l'époque. Je veux dire, tu veux intégrer Angular ? Il te faudra non seulement te palucher les quelques Mega de code pur Angular mais aussi le code de toutes les dépendances.

    Aujourd'hui c'est simple : a part si tu veux avancer cent fois moins vite que le reste du monde, c'est impossible de valider l'entièreté du code que tu ajouterais comme dépendance. Tu as évidemment l'option de tout recoder toi-même, en moins bien, en admettant que ça finisse par marcher, et en plus cher.

    En revanche je trouve ça un peu dommage côté outillage, détecter du code sciamment obfusqué en base 64 ne devrait plus être si compliqué que ça de nos jour.

    Enfin j'ai beau être développeur, pour les experts du domaines, ce ne serait pas trop difficile de me pondre un code malveillant et que je ne vois rien, comme la plupart des développeurs.
    De toute manière déjà rien que el fait de passer par une IDE lève beaucoup de taff et rend dépendant même quand on voudrait l'être le moins possible. Si vraiment faut réécrire du début ça va être violent. Par ailleurs j'en ai marre de voir débarquer de la politique à toutes les sauces surtout que bien souvent les gens sont peu/mal renseignés. Est ce qu'on va foutre de l'IT en politique...

    Imaginez le meeting d'un candidat, avec préférez tel langage ! Utilisez tel framework !

  17. #37
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    octobre 2011
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : octobre 2011
    Messages : 8
    Points : 20
    Points
    20
    Par défaut C'est du piratage
    Quel est votre avis sur le sujet ?
    Insérer du code malveillant dans un programme est un acte de piratage, que ce soit le sien ou celui d'un autre.

    Que pensez-vous des agissements du mainteneur du paquet npm node-ipc ? Est-ce bien ?
    Evidemment que c'est mal ! Comment pourrait-on qualifier de bien le fait de détruire les fichiers d'utilisateurs quelconques ?

    Même s'il s'agit de son œuvre, a-t-il le droit de saboter un paquet dont dépendent des milliers de projets ?
    Je ne suis pas avocat. Pour moi c'est du piratage. Maintenant, à voir si l'on part du principe que les gens vont chercher volontairement le code, ou que les c'est involontaire, les mies à jour étant automatisées. Bref, encore une fois, j'suis pas avocat !

    Selon vous, quels impacts ces sabotages pourraient avoir sur la communauté open source et les logiciels libres ?
    Mauvais. Seuls les sociétés qui auront le temps de faire une vrai review du code, et les compétences pour détecter les failles de sécurité vont finir par pouvoir se permettre de l'utiliser. Et comme le souligne certains, cela pourrait se révéler être un boulot trop conséquent !
    On ne pourra bientôt plus qualifier le monde Open Source de fiable, avec des crétins pareils.

  18. #38
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    1 520
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 1 520
    Points : 44 462
    Points
    44 462
    Par défaut Montée en puissance des modules de protestation open source : un autre développeur npm dénonce la Russie
    Montée en puissance des modules de protestation open source : un autre développeur npm dénonce la Russie
    Et ravive le débat sur la sécurité de la chaîne d’approvisionnement des logiciels open source

    Les développeurs expriment de plus en plus leurs opinions par le biais de leurs projets open source utilisés de façon active par des milliers d'applications logicielles et d'organisations. Pour ce faire, un mainteneur ajoute des messages de protestation ou des fonctionnalités nuisibles non souhaitées dans les dernières versions de son projet sans le documenter au préalable. Lorsqu'une application existante récupère la dernière version du projet, le code nouvellement ajouté est intégré et fonctionne de façon erratique. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ?

    Ces questionnements prennent un coup de neuf avec la récente sortie (via son projet open source) du développeur du paquetage npm 'event-source-polyfill'. Un changement introduit dans la version 1.0.26 dudit paquetage implique que les applications conçues avec ce dernier vont afficher un message de protestation aux utilisateurs basés en Russie après 15 secondes de lancement. Les paquetages Polyfill sont conçus pour mettre en œuvre des fonctionnalités JavaScript existantes sur des navigateurs Web qui ne les prennent peut-être pas en charge. Ainsi, le paquetage en question étend les API "EventSource" de Mozilla à d'autres navigateurs qui ne supportent pas ce concept. Résultat : ledit paquetage est utilisé par plus de 135 000 dépôts GitHub et téléchargé plus de 600 000 fois par semaine sur npm.

    Ce cas vient allonger une liste de modules de protestation open source qui ne cesse d’aller croissant depuis le début de l’opération militaire russe en Ukraine. En effet, le développeur à l'origine du populaire paquet npm "node-ipc" a lui aussi sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements au paquet npm "node-ipc" introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.

    Nom : 3.png
Affichages : 2585
Taille : 67,6 Ko

    L’avis de l’Open Source Initiative sur la situation est que :

    « Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

    Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

    La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

    Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

    Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

    Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

    À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient »

    Seulement, l’expérience enseigne que même les contenus textuels sont de nature à mettre à mal le mouvement open source. Cela s’est vu avec le cas Notepad++ 7.8.1 qui a opposé des internautes chinois et des intervenants occidentaux sur la question de la gestion de la communauté Ouïghour par la Chine. Résultat : des élans de nationalisme font surface autour de l’open source. La Chine a officialisé une alternative à GitHub – le service web américain d’hébergement et de gestion de logiciels – au cours de l’année 2020. Gitee compte 9 ans d’existence en Chine. Une sortie d’un responsable de Huawei en lien avec ce développement en dit long sur l’objectif : « Si la Chine ne dispose pas de sa propre communauté open source pour maintenir et gérer les projets, notre industrie nationale du logiciel sera très vulnérable à des facteurs incontrôlables. » L’intervention de Wang Chenglu pointait du doigt les sanctions à répétition des autorités américaines.

    Source : Yaffle

    Et vous ?

    Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
    L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?
    Doit-on encourager la multiplication d’initiatives comme Gitee ?

    Voir aussi :

    Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

    La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

    Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

    Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  19. #39
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 377
    Points : 6 125
    Points
    6 125
    Par défaut
    Ces andouilles sont juste en train de tuer npm. À ce train là, plus personne ne va avoir confiance en ces dépôts.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  20. #40
    Membre éprouvé
    Profil pro
    Inscrit en
    mars 2012
    Messages
    363
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2012
    Messages : 363
    Points : 994
    Points
    994
    Par défaut
    Encore des guignols qui veulent exprimer leur idéologie dans un endroit non prévu pour. Ils vont juste ridiculiser npm et le logiciel libre en regle générale alors que tu les a jamais entendu faire leur cirque pour les 500k enfant mort bombardé par les USA en Irak ou bien le conflit au Yemen depuis x années

    Ces débile profond ne savaient meme pas ou se situer l'Ukraine sur une map ya 1 mois et demi mais ils ont trouvé une nouvelle cause à leur vie vide de sens et s’engouffre dedans


    Enfin bon entre ce genre d'idiotie et les recente affaire de paquet vérolé de NPM, c'est composer qui va prendre son envol a ce rythme.

Discussions similaires

  1. Réponses: 1
    Dernier message: 16/07/2018, 20h59
  2. Réponses: 2
    Dernier message: 04/12/2013, 22h01
  3. Réponses: 1
    Dernier message: 07/04/2013, 03h33
  4. Effacer un fichier sur le disque local
    Par error dans le forum Entrée/Sortie
    Réponses: 5
    Dernier message: 20/10/2006, 15h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo