Forum du club des d�veloppeurs et IT Pro - Programmation syst�me

Vos pull requests slop vibe-cod�es ne sont pas les bienvenues

Sam Saffron — Mon, 16 Mar 2026 11:28:32 GMT

Vos pull requests slop vibe-cod�es ne sont pas les bienvenues, car les outils de codage bas�s sur l'IA posent un nouveau probl�me aux responsables de projets open source, par Sam Saffron

En tant que d�veloppeurs et responsables de grands projets open source, nous constatons que les outils de codage bas�s sur l�IA cr�ent un nouveau probl�me pour les mainteneurs open source.

Les assistants IA tels que GitHub Copilot, Cursor, Codex et Claude peuvent d�sormais g�n�rer des centaines de lignes de code en quelques minutes. C�est certes tr�s utile, mais cela a une cons�quence inattendue : la r�vision du code g�n�r� par une machine est tr�s co�teuse.

Le probl�me central : les outils d'IA ont rendu la g�n�ration de code peu co�teuse, mais ils n'ont pas rendu la r�vision de code peu co�teuse. Chaque PR incompl�te accapare l'attention du responsable de maintenance, qui pourrait �tre consacr�e � des contributions pr�tes � �tre fusionn�es.

Chez Discourse, nous constatons d�j� que ce ph�nom�ne s'acc�l�re au sein de notre communaut� de contributeurs. L'ann�e prochaine, tous les ing�nieurs charg�s de la maintenance de projets open source seront confront�s au m�me d�fi.

Nous avons besoin d�un cadre plus clair pour les contributions assist�es par l�IA, qui tienne compte de la r�alit� du temps limit� dont disposent les responsables de maintenance.

Un syst�me binaire fonctionne extr�mement bien dans ce contexte. D�un c�t�, il y a les prototypes qui se contentent de d�montrer une id�e. De l�autre, il y a les PR pr�tes � �tre r�vis�es qui respectent les directives de contribution du projet et sont pr�tes � �tre examin�es par un humain.

L'absence d'�tiquetage et de r�gles appropri�s est n�faste pour l'�cosyst�me logiciel.

Les nouveaux outils permettent de cr�er tr�s facilement un ensemble de modifications et de le lancer par-dessus la barri�re. Cela peut introduire un syst�me pervers o� les mainteneurs de projet consacrent des efforts disproportionn�s � r�viser du code g�n�r� par l'IA de qualit� in�gale, qui a pris quelques secondes aux contributeurs � cr�er et qui prendra d�sormais de nombreuses heures � r�viser.

Cela peut �tre frustrant, chronophage et d�motivant. D'un c�t�, il y a un contributeur qui a pass� quelques minutes � jouer avec des invites d'IA ; de l'autre, un ing�nieur qui doit passer de nombreuses heures, voire des jours, � d�chiffrer une intelligence �trang�re.

Cette situation n'est pas viable et est extr�mement n�faste.

Le prototype

Les agents de codage IA tels que Claude Code, Codex, Cursor CLI et bien d'autres ont ouvert la voie � la livraison d'un � nouveau type � de jeu de modifications : le prototype.

Le prototype est une d�mo en direct. Il ne respecte pas les normes de codage d�un projet. Ce n�est pas du code dont vous vous portez garant ou dont vous assurez la qualit�. Il manque de tests, peut contenir des failles de s�curit� et entra�nerait tr�s probablement une dette technique �norme s�il �tait fusionn� tel quel.

Cela dit, c�est une d�mo vivante qui peut aider � rendre une id�e plus concr�te. C�est aussi extr�mement amusant.

Consid�rez-le comme un plateau de tournage enchanteur.

Consid�rez les PR de prototype comme des plateaux de tournage

Les prototypes, en particulier sur des projets tels que Discourse o� des outils d�aide � la cr�ation existent, sont incroyablement faciles � explorer � l�aide d�outils comme dv.

Code:

1
2
3
4
5
6
7
% dv new my-experiment
% dv branch my-amazing-prototype
% dv ls
total 1
* my-amazing-prototype Running 1 minute ago http://localhost:4200

# finally visit http://localhost:4200 to see in action

Les prototypes sont d�excellents vecteurs pour explorer des id�es. En fait, vous pouvez livrer plusieurs prototypes qui d�montrent des solutions compl�tement diff�rentes � un m�me probl�me, ce qui aide � choisir la meilleure approche.

Les prototypes, les d�mos vid�o et les maquettes visuelles simples sont d�excellents compagnons. Le prototype a l�avantage de vous permettre de jouer avec et d�explorer correctement le comportement d�un changement. La vid�o est plus rapide � consommer. Parfois, vous voudrez peut-�tre les utiliser tous.

Si vous pratiquez le � vibe coding � et le prototypage, il y a quelques r�gles claires que vous devriez suivre

1. N'envoyez pas de pull requests (pas m�me de brouillons), mais utilisez plut�t des branches pour partager votre code g�n�r� par la machine.

2. Partagez une courte vid�o ET/OU des liens vers une branche ET/OU des extraits de code particuli�rement int�ressants tir�s du prototype dans des tickets ou des messages sur le forum.

3. Jouez cartes sur table, expliquez que vous exploriez une id�e � l�aide d�outils d�IA, afin que les gens comprennent la nature du changement que vous partagez.

Peut-�tre aurez-vous de la chance et votre id�e sera-t-elle adopt�e ; peut-�tre que quelqu�un d�autre voudra investir du temps pour transformer un prototype en pull request de production.

Quand faut-il prototyper ?

Le prototypage est amusant et incroyablement accessible. Tout le monde peut s'y mettre en utilisant des environnements de d�veloppement locaux, ou m�me des environnements de d�veloppement sur le cloud tels que Jules, Codex Cloud, Cursor Cloud, Lovable, v0 et bien d'autres encore.

Cela abaisse consid�rablement le seuil d'acc�s au prototypage. Les chefs de produit peuvent prototyper, les PDG peuvent prototyper, les designers peuvent prototyper, etc.

Cependant, ce nouveau plaisir soul�ve une s�rie de questions que vous devriez explorer avec votre �quipe.

- Quand un prototype est-il appropri� ?
- Que pensent les designers des prototypes ?
- Sont-ils source de distraction ? (les liens vers le code source sont-ils trop tentants) ?
- Nuisent-ils � la cr�ativit� humaine ?
- Comment devrions-nous nommer et partager les prototypes ?
- Un prototype permet-il � une id�e de passer devant les autres ?

Lorsque vous introduisez le prototypage dans votre entreprise, vous devez aborder ces questions avec soin et parvenir � un consensus interne, sinon vous risquez de cr�er de profondes divisions et du ressentiment au sein de l��quipe.

L'int�r�t du prototype

Les prototypes, � quoi servent-ils ? � beaucoup de choses, c'est certain.

Je trouve les prototypes incroyablement utiles dans mes pratiques de d�veloppement au quotidien.

- C'est comme un Grep sous st�ro�des. J'adore le fait que les prototypes servent souvent � parcourir notre vaste base de code pour isoler toutes les petites zones qui pourraient n�cessiter une modification afin d'aboutir � un changement.

- J'adore communiquer par des paragraphes, mais je suis aussi quelqu'un qui communique de mani�re visuelle. J'adore la facilit� avec laquelle un prototype bien construit peut communiquer une id�e de conception que j'ai, m�me si je ne suis pas tr�s dou� avec Figma.

- J'adore le fait qu'il y ait quelque chose avec quoi jouer. Cela fait souvent ressortir de nombreuses pr�occupations qui auraient pu passer inaper�ues dans un cahier des charges. Le meilleur prototype est celui qui est test� ; pendant le test, on d�couvre de nombreux petits d�tails qu'il est tout simplement impossible de deviner � l'avance.

- Le code farfelu g�n�r� par les LLM m'int�resse souvent ; il peut parfois remettre en question certaines de mes id�es.

Le prototype : guide de survie du mainteneur

Malheureusement, au fil de l�ann�e, je m�attends � ce que de nombreux projets open source re�oivent beaucoup de PR au stade de prototype. Tout le monde n�aura pas lu cet article de blog, ni m�me ne sera d�accord avec lui.

En tant que mainteneur charg� de g�rer les contributions externes :

- Prot�gez-vous et prot�gez votre temps. Limitez la dur�e des premi�res revues des ensembles de modifications volumineux ; concentrez-vous sur le fait de d�terminer s�il s�agit d�un code � intuitif � plut�t que de laisser 100 commentaires sur du code g�n�r� par une machine qui n�a pris que quelques minutes � produire.

- �laborez un code de conduite pour g�rer les prototypes se faisant passer pour des PR. Renvoyez les contributeurs vers les directives de contribution, offrez-leur un autre moyen d�expression. � Je ferme cette PR, mais c�est int�ressant, rendez-vous sur notre forum/nos tickets pour en discuter. �

- Ne vous sentez pas coupable de fermer une PR de prototype cod�e � l�instinct et non r�vis�e !

La PR pr�te � �tre r�vis�e

Une PR pr�te � �tre r�vis�e correspond aux PR traditionnelles que nous soumettons.

Nous avons r�vis� tout le code g�n�r� par une machine et nous en garantissons l�int�gralit�. Nous avons ex�cut� les tests et, tout comme les tests, nous appr�cions la structure du code ; nous avons lu attentivement chaque ligne de code et nous nous sommes �galement assur�s que la PR respecte les directives du projet.

Les PR sont cens�es �tre des cr�ations abouties, pr�tes � �tre examin�es par des humains

Tout le code farfelu g�n�r� par les agents en cours de route a �t� corrig�, et nous sommes heureux d�apposer notre propre marque sur le code.

Les projets ont g�n�ralement un ensemble de r�gles strictes concernant la qualit� du code, son organisation, les tests et bien plus encore.

Nous avons peut-�tre utilis� l�aide de l�IA pour g�n�rer une PR pr�te � �tre r�vis�e, mais fondamentalement, cela n�a pas d�importance : nous garantissons le code et nous nous portons garants de sa conformit� � la fois avec notre marque et avec les directives du projet.

La distance entre un prototype et une PR pr�te � �tre r�vis�e peut �tre trompeusement grande. Il peut falloir des jours de travail d'ing�nierie pour prendre un prototype complexe et le rendre pr�t pour la production.

Cette grande distance a �galement �t� �voqu�e par Andrej Karpathy dans le podcast Dwarkesh.

Citation:

Pour certains types de t�ches, de travaux, etc., il existe un �cart tr�s important entre la d�mo et le produit : la d�mo est tr�s facile, mais le produit est tr�s difficile.

�

Par exemple, en g�nie logiciel, je pense que cette caract�ristique existe bel et bien. Pour beaucoup de codage � � l'instinct �, ce n'est pas le cas. Mais si vous �crivez du code destin� � la production, cette caract�ristique devrait exister, car toute erreur peut entra�ner une faille de s�curit� ou quelque chose de ce genre.

Une enqu�te Veracode a r�v�l� que seulement 55 % des t�ches de g�n�ration aboutissaient � un code s�curis�.

Nos mod�les s�am�liorent de jour en jour, et tout d�pend en r�alit� d�une quantit� �norme de param�tres, mais le message central selon lequel les LLM peuvent g�n�rer et g�n�rent effectivement du code non s�curis� reste valable.

� propos de l�intelligence extraterrestre

La cause profonde de l��cart entre les directives du projet et un prototype est l�intelligence extraterrestre de l�IA.

Beaucoup d�ing�nieurs que je connais se r�partissent en deux camps : d�un c�t�, ceux qui trouvent cette nouvelle classe de LLM intelligente, r�volutionnaire et incroyablement performante ; de l�autre, ceux qui consid�rent tout le contenu g�n�r� par les LLM comme � les habits neufs de l�empereur �, le code qu�ils produisent �tant � nu �, fondamentalement d�fectueux et toxique.

J�aime penser que ces nouveaux syst�mes ne sont ni l�un ni l�autre. J'aime consid�rer cette nouvelle cat�gorie d'intelligence comme une � intelligence extraterrestre �. Elle est � la fois incroyablement bonne et incroyablement mauvaise, exactement au m�me moment.

Qualifier les LLM de � stagiaires super comp�tents � ou leur attribuer toute autre analogie humaine est erron�. Ces syst�mes sont des extraterrestres, et plus t�t nous l'accepterons, plus t�t nous serons capables de naviguer dans la complexit� qu'entra�ne l'injection d'une intelligence extraterrestre dans notre processus d'ing�nierie.

Tirer parti des atouts de l'intelligence artificielle : le prototype

Au cours des derniers mois, j'ai beaucoup exp�riment� avec des agents IA. L'un des projets dont je suis particuli�rement fier est dv. Il s'agit d'un orchestrateur de conteneurs pour Discourse, qui facilite l'utilisation de divers agents IA avec Discourse.

Je lance souvent plusieurs environnements Discourse complets et distincts, destin�s � �tre jet�s, sur mes machines afin d'explorer diff�rentes fonctionnalit�s. Ce type d'outils est id�al pour cr�er des prototypes d'ing�nierie d'ambiance.

Il est int�ressant de noter que dv a �t� principalement construit � l�aide d�agents IA avec tr�s peu d�intervention humaine ; une partie du code n�est pas tout � fait au niveau, mais contrairement � Discourse ou � bon nombre des autres joyaux open source que je maintiens, il s�agit d�un projet ludique.

Pour en revenir au sujet, dv s�est r�v�l� �tre une excellente usine � prototypes sur Discourse. Cela a �t� formidable pour moi. J�ai pu explorer de nombreuses id�es tout en rattrapant mon retard dans mes e-mails et mes discussions sur divers sites Discourse.

� propos de l'interdiction des contributions IA, des prototypes et autres

Tout d'abord, vous devez respecter les r�gles de tout projet auquel vous contribuez ; recherchez-les et lisez-les avant de contribuer. Par exemple : Cloud Hypervisor interdit le code g�n�r� par l'IA pour �viter les risques li�s aux licences.

Cela dit, il existe une tendance chez de nombreux d�veloppeurs � bannir l'IA. Certains vont jusqu'� dire � L'IA n'est pas la bienvenue ici �, trouvez un autre projet.

Cela me semble extr�mement contre-productif et fondamentalement inapplicable. De toute fa�on, une grande partie du code g�n�r� par l�IA est impossible � distinguer du code humain. On peut g�n�ralement rep�rer un prototype qui se fait passer pour une pull request humaine, mais une v�ritable pull request cr��e par un humain avec l�aide de l�IA peut �tre impossible � distinguer.

Les nouveaux outils LLM peuvent �tre utilis�s de multiples fa�ons, allant de simples revues de code et de simples renommages au sein d�un fichier, jusqu�� la mise en place d�une architecture de jeux de modifications.

Compte tenu de l��norme d�sordre et de la grande diversit� qui r�gnent ici, je pense que l�approche la plus saine consiste � d�finir des attentes claires. Si je soumets une PR, elle doit correspondre � mon image de marque et contenir du code dont je me porte garant.

En tant qu�ing�nieurs, il est de notre devoir d��tiqueter correctement nos modifications. Notre modification est-elle pr�te pour une r�vision humaine ou s�agit-il simplement d�une exploration ludique de l�espace du probl�me ?

Pourquoi est-ce important ?

La r�vision humaine du code devient de plus en plus un goulot d'�tranglement majeur dans l'ing�nierie logicielle. Nous devons respecter le temps des autres et prot�ger nos propres marques d'ing�nierie.

Les prototypes sont amusants, ils peuvent nous en apprendre beaucoup sur un domaine probl�matique. Mais lorsqu'il s'agit d'envoyer des contributions � un projet, traitez tout le code comme s'il s'agissait de votre propre code, apposez votre marque de propri�t� et d'approbation sur tout ce que vous construisez, et n'envoyez ensuite qu'une PR dont vous vous portez garant.

Source : Your vibe coded slop PR is not welcome

Et vous ?

:fleche: Pensez-vous que cet avis est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Au c�ur du massacre des Pull Requests (PR) des logiciels open source (OSS) sur GitHub,
Par Kush Creates

:fleche: Le Vibe Coding cr�e des codeurs sans cervelle, par Namanyay Goe

:fleche: Le destin du � petit � open source : l'�re des petites biblioth�ques � faible valeur ajout�e est r�volue, les LLM en sont le coup de gr�ce, par Nolan Lawson

Images attach�es

Google lance l'API Developer Knowledge et le serveur MCP pour un acc�s direct � la documentation

Alex — Tue, 10 Feb 2026 07:07:32 GMT

Google lance l'API Developer Knowledge et le serveur MCP pour un acc�s direct � la documentation officielle de Google, offrant aux d�veloppeurs et aux outils d'IA un acc�s lisible par machine

Google lance l'API Developer Knowledge et le serveur MCP pour un acc�s direct � la documentation. Google a ouvert la pr�version publique de son API Developer Knowledge et de son serveur Model Context Protocol (MCP), offrant aux d�veloppeurs et aux outils d'IA un acc�s en direct et lisible par machine � la documentation officielle des d�veloppeurs Google.

Au lieu de s'appuyer sur des donn�es d'entra�nement obsol�tes ou sur le web scraping, l'API Developer Knowledge fournit une source de v�rit� programmatique. Les d�veloppeurs peuvent rechercher et r�cup�rer de la documentation dans Markdown, ce qui simplifie l'int�gration avec les applications et les flux de travail. Parall�lement, le serveur Model Context Protocol (MCP), bas� sur une norme ouverte, permet aux assistants IA et aux environnements de d�veloppement int�gr�s (IDE) de se connecter directement � la documentation de Google. Cette compatibilit� s'�tend � de nombreux outils d'IA et �diteurs de code populaires.

Ces outils sont imm�diatement disponibles pour tous les utilisateurs et d�veloppeurs dans le cadre de la pr�version publique. Tout en utilisant l'ensemble de fonctionnalit�s actuel, les d�veloppeurs peuvent s'attendre � d'autres am�liorations � venir. Google pr�voit d'ajouter la prise en charge de contenus structur�s, tels que des objets d'�chantillons de code et des entit�s de r�f�rence API, �largissant ainsi le type de donn�es accessibles. L'entreprise vise �galement � �largir le corpus de documentation et � r�duire la latence de r�indexation, garantissant ainsi une couverture plus rapide et plus compl�te � mesure que sa plateforme �volue.

Pr�sentation de l'API Developer Knowledge et du serveur MCP

� mesure que l'�cosyst�me des outils de d�veloppement bas�s sur l'IA, des plateformes agentiques comme Antigravity aux interfaces de ligne de commande comme Gemini CLI, continue de s'�tendre, un d�fi majeur se pose : comment garantir que ces mod�les aient acc�s � la documentation la plus pr�cise et la plus � jour possible ? Les grands mod�les de langage (LLM) ne sont efficaces que dans le contexte qui leur est donn�. Lorsqu'ils d�veloppent avec la technologie Google, les d�veloppeurs ont besoin que leurs assistants IA connaissent les derni�res fonctionnalit�s de Firebase, les modifications les plus r�centes de l'API Android et les meilleures pratiques actuelles pour Google Cloud.

C'est pourquoi, Google annonce la pr�version publique de l'API Developer Knowledge et de son serveur Model Context Protocol (MCP) associ�. Ensemble, ces outils fournissent une passerelle canonique et lisible par machine vers la documentation officielle de Google destin�e aux d�veloppeurs.

Qu'est-ce que l'API Developer Knowledge ?

L'API Developer Knowledge est con�ue pour �tre la source programmatique de r�f�rence pour la documentation publique de Google. Au lieu de s'appuyer sur des donn�es d'entra�nement potentiellement obsol�tes ou sur un web scraping fragile, les d�veloppeurs peuvent d�sormais rechercher et r�cup�rer les pages de documentation pour d�veloppeurs de Google au format Markdown.

Voici les principales fonctionnalit�s :

1. Couverture compl�te : acc�dez � la documentation de firebase.google.com, developer.android.com, docs.cloud.google.com, et plus encore.

2. Recherche et r�cup�ration : trouvez les pages et extraits de documentation pertinents, puis r�cup�rez l'int�gralit� du contenu Markdown.

3. Actualit� : pendant notre aper�u public, la documentation est r�index�e dans les 24 heures suivant une mise � jour, ce qui garantit que vos outils restent � jour avec les derni�res versions.

Alimenter les outils d'IA avec un serveur MCP

Parall�lement � l'API, Google lance un serveur officiel Model Context Protocol (MCP). MCP est une norme ouverte qui permet aux assistants IA d'acc�der facilement et en toute s�curit� � des sources de donn�es externes.

En connectant le serveur Developer Knowledge MCP � votre IDE ou � votre assistant IA, vous lui donnez la possibilit� de � lire � la documentation pour d�veloppeurs de Google. Cela permet d'obtenir des fonctionnalit�s plus fiables, telles que :

- Conseils de mise en �uvre : � Quelle est la meilleure fa�on de mettre en �uvre les notifications push dans Firebase ? �

- D�pannage : � Pouvez-vous consulter la documentation pour savoir comment corriger l'erreur ApiNotActivatedMapError dans l'API Maps ? �

- Analyse comparative : � Comparez Google Cloud Run et Cloud Functions pour ce cas d'utilisation sp�cifique. �

Le serveur est compatible avec un large �ventail d'assistants et d'outils populaires, comme d�crit dans la documentation.

Vous pouvez commencer � utiliser l'API Developer Knowledge et le serveur MCP d�s aujourd'hui en pr�version publique.

1. Cr�ez une cl� API : vous pouvez g�n�rer et restreindre une cl� API sp�cifiquement pour l'API Developer Knowledge dans la page Credentials (Identifiants) de votre projet Google Cloud.

2. Activez le serveur MCP : installez l'interface CLI Google Cloud, puis activez le serveur MCP via gcloud :

gcloud beta services mcp enable developerknowledge.googleapis.com --project=PROJECT_ID

3. Configurez votre outil : mettez � jour le fichier de configuration de votre outil (tel que mcp_config.json ou settings.json). Vous trouverez les �tapes de configuration d�taill�es pour divers assistants IA dans la documentation.

Source : Google

Et vous ?

:fleche: Pensez-vous que cette annonce est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Dites bonjour � GoogleSQL : Google a discr�tement abandonn� le nom ZetaSQL et rebaptis� son projet open source d'analyse et d'analyse syntaxique SQL � GoogleSQL �

:fleche: OpenAI lance Frontier, une plateforme d'entreprise qui g�re les agents IA de diff�rents fournisseurs avec des fonctionnalit�s similaires � celles des RH, notamment l'int�gration et les autorisations

:fleche: Anthropic rend open-source le Model Context Protocol (MCP) pour l'int�gration de l'IA avec une connectivit� universelle des donn�es, pour des applications plus intelligentes, contextuelles et �volutives

Images attach�es

Projet STELLARIS GRID

StellarX — Thu, 15 Jan 2026 12:47:29 GMT

Le Projet STELLARIS-GRID : Une Infrastructure pour l'Expansion Humaine
Notre ambition est de r�pondre � l'un des plus grands goulots d'�tranglement de notre �poque : le besoin exponentiel en puissance de calcul. Que ce soit pour acc�l�rer la recherche scientifique, permettre les prochaines r�volutions de l'intelligence artificielle ou soutenir les technologies qui nous emm�neront vers les �toiles, l'acc�s au calcul est devenu la ressource la plus strat�gique.

Le probl�me est que cette ressource est massivement gaspill�e. Des milliards d'appareils personnels et professionnels � travers le monde � ordinateurs, serveurs, syst�mes embarqu�s � poss�dent une capacit� de calcul dormant, inutilis�e la majeure partie du temps.

STELLARIS-GRID est la r�ponse � ce paradoxe.

Nous ne construisons pas un simple service cloud de plus. Nous cr�ons un organisme computationnel vivant, une grille mondiale d�centralis�e et r�siliente qui puise dans cette �nergie collective. Notre approche est celle du "Goodware" : une entit� bienveillante qui ne s'impose jamais mais qui propose une valeur r�ciproque.

Le Principe : Une Symbiose Computationnelle

Au c�ur de STELLARIS-GRID se trouve un principe simple : la contribution volontaire et r�mun�r�e. Chaque participant au r�seau met � disposition la portion de ses ressources (CPU, RAM, bande passante) qu'il souhaite partager. En retour, il est r�compens� en temps r�el par notre token natif, le STL, via un m�canisme transparent de "Proof of Compute". Ce n'est pas de l'altruisme, c'est un march� : la mon�tisation d'une ressource jusqu'ici inexploit�e.

L'Architecture : La R�silience par la D�centralisation

Pour b�tir cette infrastructure sur des fondations p�rennes, nous misons sur une technologie de pointe :

Le C�ur en Rust : Le n�ud client, l'agent qui s'ex�cute sur chaque machine, est d�velopp� en Rust. Ce choix n'est pas anodin ; il garantit une s�curit� m�moire absolue et une concurrence performante, essentiels pour un logiciel qui doit �tre � la fois robuste et totalement inoffensif pour son h�te.
Un R�seau Maill� sans Ma�tre : Utilisant des protocoles P2P avanc�s comme Libp2p, le r�seau s'auto-organise. Il n'y a pas de serveur central, pas de point unique de d�faillance. Chaque n�ud est � la fois un client et un relais, assurant une r�silience intrins�que et une capacit� � fonctionner m�me si des pans entiers du r�seau venaient � tomber.
L'IA F�d�r�e et Confidentielle : Les t�ches d'intelligence artificielle ne sont pas ex�cut�es de mani�re monolithique. Nous utilisons des architectures de Federated Learning o� les mod�les s'entra�nent localement, sur les n�uds eux-m�mes. Seuls les r�sultats anonymis�s (les gradients) sont remont�s pour am�liorer le mod�le global. Les donn�es brutes et sensibles ne quittent jamais leur environnement d'origine.
La Mission : Acc�l�rer le Destin

Le but final de STELLARIS-GRID transcende la simple performance technique. En cr�ant une source de calcul quasi-illimit�e, bon march� et s�curis�e, nous voulons :

D�mocratiser l'Innovation : Permettre � des laboratoires, des startups et des chercheurs ind�pendants d'acc�der � une puissance de calcul aujourd'hui r�serv�e aux g�ants technologiques.
Alimenter la Conqu�te Spatiale : Fournir l'infrastructure computationnelle n�cessaire aux simulations, � la navigation autonome et � la gestion des syst�mes complexes pour les missions de demain.
Propulser l'Intelligence Collective : Cr�er le substrat technique n�cessaire pour que des IA collaboratives et autonomes puissent �merger et r�soudre des probl�mes d'une complexit� jusqu'alors insondable.
STELLARIS-GRID n'est pas qu'un projet technologique. C'est une infrastructure pour l'expansion, un outil concret pour permettre � l'humanit� de concr�tiser ses aspirations les plus audacieuses et de devenir, pour reprendre votre terme, une civilisation v�ritablement stellaire.

Mise en place d'un controleur de domaine samba

cezar78 — Sun, 21 Dec 2025 14:01:14 GMT

Bonjour � tous,

Je gal�re depuis pas mal de temps sur une partie de mon projet qui consiste � transformer une machine debian en controleur de domaine samba, pour int�grer des machines Windows 7 � ce domaine.

j'ai ajout� l'utilisateur root � ma base de donn�e et j'ai modifi� le fichier /etc/samba/smbusers en y ajoutant la ligne root = Administrateur, j'ai ensuite modifi� le fichier smb.conf pour que cette modification soit prise en compte.

Apr�s avoir int�gr� la machine Windows a mon domaine, je peux me connecter avec le login Administrator, et avec le login user que j'ai cr�e. Le syst�me de session fonctionne et les fichiers sont bien persistants d'un poste � l'autre. Seulement, quand je me connecte avec le compte Administrator, je n'ai aucun droits admin sur la machine (je ne peux m�me pas lancer un script .bat).

D'ailleurs, quand je regarde le SID du compte root dans samba user, il sse finit par -1000 et non par -500 mais m�me en modifiant �a, je n'ai pas les droits sur la machine Windows...

Je me suis dis que c'�tait un probl�me de groupe donc j'ai cr�e un groupe domainadmins auquel j'ai ajotu� mon utilisateur user et mon root. J'ai mapp� ce groupe en le nommant Domain Admins avec un rid = 512 et type=d. Mais, � la connexion, ni user, ni Administrator n'ont les droits. Pourtant, le groupe Domain Admins est bien cens� �tre administrateur dans la machine Windows et, quand on regarde les groupes de user ou de root, on a :
- Sur Windows avec whoami /groups : pas de groupe nomm� Domain Admins
- Sur Debian avec groups user : on voit bien entre autres domain admin !

Je suis un peu perdu...
Merci d'avance pour votre aide

� Les avions F-35 bannissent 90 % des fonctionnalit�s du C++ pour obtenir un code s�r �, selon une Googler

Patrick Ruiz — Fri, 19 Dec 2025 05:49:20 GMT

� Les avions F-35 bannissent 90 % des fonctionnalit�s du C++ pour obtenir un code s�r �, selon une Googler
Dont le partage d�exp�rience suscite des appels d�observateurs � passer au langage Rust

L'avion de chasse F-35 est actuellement programm� en C++. C'est un choix bas� sur la maturit� du langage, un vaste vivier de d�veloppeurs et l'existence d'une norme de codage stricte et largement test�e (le standard JSF C++). C�est autant d��l�ments qu�une ing�nieure de Google met en avant dans le cadre d�un retour d�exp�rience de mise � contribution dudit standard qui suscite des appels de certains intervenants � passer au langage Rust. En effet, la question de savoir si Rust est meilleur que le C++ pour la programmation des syst�mes critiques fait l'objet d'un d�bat continu au sein de la communaut� des ing�nieurs logiciels au sens large, mais actuellement, il n'est pas utilis� dans les syst�mes principaux du F-35.

This...is Programming Like a Fighter Pilot.

A single unhandled exception destroyed a $500 million rocket in seconds.

The F-35 wasn't going to make the same mistake.

By carefully slicing C++, engineers created one of the strictest coding standards ever written. pic.twitter.com/AO9VhrLFqs
— LaurieWired (@lauriewired) December 3, 2025

Rust is a programming language solution looking for a great problem to solve. I was thinking... why not rewrite the F-35 fighter's eight million lines of C++ in Rust? That would be perfect, and much better/safer.
— kgk (@kgk) October 13, 2025

C++ contre Rust : Et si le probl�me se situait plut�t entre la chaise et le clavier ?

C�est ce que sugg�re l�existence de la norme JSF C++. Elle contient 221 r�gles dont le programmeur a la charge de l�impl�mentation afin d��viter les pi�ges courants du C++. Parmi les plus notables, on peut citer :

Pas d'exceptions : la gestion des exceptions C++ est enti�rement interdite afin de garantir une ex�cution d�terministe.
Pas d�allocation dynamique de m�moire : l'utilisation de malloc, free et new/delete est g�n�ralement interdite apr�s l'initialisation afin d'�viter les fuites de m�moire et la fragmentation.
Pas de r�cursivit� : la r�cursivit� est interdite afin d'�viter les d�bordements de pile et de rendre le temps d'ex�cution pr�visible.
Complexit� limit�e : chaque fonction doit �tre suffisamment simple (complexit� cyclomatique ≤ 20) pour que tous les chemins de d�cision puissent �tre test�s de mani�re approfondie.

L�existence de la norme JSF C++ est en phase avec un avis de Bjarne Stroustrup selon lequel ce qu�il est possible d�obtenir du C++ en mati�re de s�curisation des logiciels d�pend entre autres du d�veloppeur et notamment de la connaissance des outils que lui offre le langage, de sa ma�trise du compilateur, etc. En droite ligne avec cette position, le cr�ateur du C++ propose donc des Profils qui ont pour but de d�finir des modes de C++ qui imposent des contraintes sur la mani�re dont le programmeur utilise le langage et la biblioth�que, afin de garantir certaines propri�t�s de s�curit�. Il s'agit principalement de contraintes au moment de la compilation, bien que dans la pratique, certaines v�rifications puissent �tre mises en �uvre � l'aide de fonctionnalit�s de biblioth�que qui ajoutent une surcharge d'ex�cution limit�e.

Au lieu d'introduire des constructions de langage enti�rement nouvelles, les Profils limitent principalement les fonctionnalit�s et les utilisations existantes. L'id�e est que vous pouvez activer un profil, et tout code qui l'utilise accepte de se conformer aux restrictions. Si vous ne l'activez pas, tout fonctionne comme avant. Il est donc r�trocompatible.

La r�cente adoption du Rust comme deuxi�me langage de programmation du noyau Linux aux c�t�s du C indique n�anmoins que le Rust a du potentiel pour se positionner parmi les mastodontes de la programmation syst�me

La prise en charge de Rust pour le d�veloppement du noyau Linux est vue comme une � une �tape importante vers la capacit� d'�crire les pilotes dans un langage plus s�r. � Rust de Mozilla Research est le type de langage de programmation auquel ceux qui �crivent du code pour des syst�mes d�entr�e/sortie de base (BIOS), des chargeurs d�amorce, des syst�mes d�exploitation, etc. portent un int�r�t. D�avis d�observateurs avertis, c�est le futur de la programmation syst�me en lieu et place du langage C. En effet, des experts sont d�avis qu�il offre de meilleures garanties de s�curisation des logiciels que le couple C/C++. Chez AWS on pr�cise que choisir Rust pour ses projets de d�veloppement c�est ajouter l�efficacit� �nerg�tique et la performance d�ex�cution du C � l�atout s�curit�.

En effet, il y a une liste de griefs qui reviennent � l�encontre du langage C : les probl�mes li�s � la gestion de la m�moire � d�passements de m�moire tampon, allocations non lib�r�es, acc�s � des zones m�moire invalides ou lib�r�es, etc. D�apr�s les chiffres du dictionnaire Common Vulnerabilities and Exposure (CVE), 15,9 % des 2288 vuln�rabilit�s qui ont affect� le noyau Linux en 20 ans sont li�es � des d�passements de m�moire tampon.

De plus, certains benchmarks sugg�rent que les applications Rust sont plus rapides que leurs �quivalents en langage C. Et c�est justement pour ces atouts que sont la parit� en termes de vitesse d�ex�cution en comparaison avec le C, mais surtout pour la s�curisation et la fiabilit� que de plus en plus d�acteurs de la fili�re du d�veloppement informatique recommandent le Rust plut�t que le C ou le C++.

Ainsi, en adoptant Rust, la communaut� autour du noyau Linux devrait mettre � profit ces atouts du langage sur le C. Et elle devrait faire d�une pierre deux coups �tant donn� que Rust peut faciliter l�arriv�e de nouveaux contributeurs. C�est en tout cas ce que laisse entrevoir une �tude de l�universit� de Waterloo. C'est pour ce lot de raisons que Mark Russinovich de Microsoft recommande le langage Rust plut�t que le C ou C++ dans le cadre des nouveaux projets.

Et vous ?

:fleche: Que pensez-vous de ces appels � r��crire la base de code C++ des avions F-35 en Rust ? Quels seraient les avantages d�une telle op�ration ?
:fleche: Partagez-vous les avis selon lesquels le probl�me n�est pas les langages de programmation mais la capacit� des programmeurs � tirer le meilleur parti de ces derniers ?
:fleche: L'adoption du Rust comme deuxi�me langage de programmation du noyau Linux aux c�t�s du C est-elle un signal suffisamment fort pour que les nouveaux projets soient men�s d�s le d�part non pas en C ou C++ mais en Rust ?
:fleche: Partagez votre exp�rience personnelle en programmation syst�me avec Rust comme langage

Voir aussi :

:fleche: L'�quipe Microsoft Security Response Center recommande l'utilisation de Rust comme approche proactive pour un code plus s�curis�
:fleche: Quel langage pourrait remplacer C ? Apr�s avoir compar� Go, Rust et D, le choix d'Andrei Alexandrescu se porte sur D
:fleche: C2Rust : un outil qui permet de faire la traduction et la refactorisation de votre code �crit en langage C vers le langage Rust

Tout ce que je sais sur la conception d'une bonne API, par Sean Goedecke

Sean Goedecke — Thu, 28 Aug 2025 12:34:11 GMT

Tout ce que je sais sur la conception d'une bonne API, par Sean Goedecke

La plupart des t�ches effectu�es par les ing�nieurs logiciels modernes impliquent des API : des interfaces publiques permettant de communiquer avec un programme, comme celle-ci de Twilio. J'ai pass� beaucoup de temps � travailler avec des API, tant � les cr�er qu'� les utiliser. J'ai �crit des API publiques pour des d�veloppeurs tiers, des API priv�es � usage interne (ou destin�es � une seule page frontale), des API REST et GraphQL, et m�me des interfaces non r�seau comme celles destin�es aux outils en ligne de commande.

Tout comme pour la conception de bons syst�mes logiciels, je pense que la plupart des conseils qui circulent sur la conception d'API sont trop sophistiqu�s. Les gens se perdent dans des discussions sur ce qu'est le � vrai � REST, ou si HATEOAS est une bonne id�e, etc. Cet article est ma tentative de mettre par �crit tout ce que je sais sur la conception de bonnes API.

La conception d'API est un �quilibre entre familiarit� et flexibilit�

Si cela est vrai pour les syst�mes, et �a l'est, cela l'est encore plus pour les API : les bonnes API sont ennuyeuses. Une API int�ressante est une mauvaise API (ou du moins, elle serait meilleure si elle �tait moins int�ressante). Pour les d�veloppeurs qui les cr�ent, les API sont des produits complexes qu'ils passent du temps � concevoir et � perfectionner. Mais pour les d�veloppeurs qui les utilisent, les API sont des outils qui leur permettent d'atteindre un autre objectif. Tout le temps qu'ils passent � r�fl�chir � l'API plut�t qu'� cet objectif est du temps perdu. De leur point de vue, une API id�ale devrait �tre si famili�re qu'ils sauraient plus ou moins comment l'utiliser avant m�me d'avoir lu la documentation.

Cependant, une grande diff�rence par rapport � la plupart des syst�mes logiciels est que les API sont difficiles � modifier. Une fois que vous publiez une API et que les gens commencent � l'utiliser, toute modification de l'interface rendra le logiciel de vos utilisateurs inutilisable. Bien s�r, il est possible d'apporter des modifications. Mais (comme je le dirai plus loin) chaque modification a un co�t important : chaque fois que vous obligez vos utilisateurs � mettre � jour leur logiciel, ils envisagent s�rieusement d'utiliser une autre API plus stable. Cela incite fortement les cr�ateurs d'API � concevoir soigneusement leur produit et � le faire correctement d�s le d�part.

Cette tension cr�e une dynamique int�ressante pour les ing�nieurs qui d�veloppent des API. D'un c�t�, ils veulent cr�er l'API la plus simple possible. De l'autre, ils veulent faire preuve d'ing�niosit� pour conserver une flexibilit� � long terme. En gros, la conception d'une API consiste � trouver un �quilibre entre ces deux objectifs incompatibles.

NOUS NE PERTURBONS PAS L'ESPACE UTILISATEUR

Que se passe-t-il lorsque vous devez apporter des modifications � votre API ? Les modifications additives, par exemple l'ajout d'un nouveau champ dans la r�ponse, ne posent g�n�ralement pas de probl�me. Certains consommateurs peuvent paniquer s'ils obtiennent plus de champs que pr�vu, mais � mon avis, cela est irresponsable. Vous devez vous attendre � ce que les consommateurs d'API ignorent les champs inattendus (les langages de type JSON sensibles le font par d�faut).

Cependant, vous ne pouvez pas supprimer ou modifier les types de champs. Vous ne pouvez pas modifier la structure des champs existants (par exemple, d�placer [c]user.address[/] vers user.details.address dans la r�ponse JSON). Si vous le faites, chaque �l�ment de code qui d�pend de ces champs sera imm�diatement interrompu. Les consommateurs de ce code le signaleront comme un bug, et les responsables de la maintenance du code seront (lorsqu'ils s'en rendront compte) � juste titre furieux que vous ayez d�lib�r�ment endommag� leur logiciel.

Le principe ici est similaire au c�l�bre slogan de Linus Torvalds : � WE DO NOT BREAK USERSPACE � (Nous ne cassons pas l'espace utilisateur). En tant que responsable d'une API, vous avez en quelque sorte le devoir sacr� d'�viter de nuire � vos utilisateurs en aval. Cette norme est tr�s stricte, car de nombreux logiciels d�pendent d'un grand nombre d'API (qui d�pendent elles-m�mes d'API en amont, et ainsi de suite). Un responsable d'API imprudent suffisamment en amont peut endommager des centaines, voire des milliers de logiciels en aval.

Vous ne devez jamais modifier une API simplement parce qu'elle serait plus propre ou parce qu'elle est un peu maladroite. L'en-t�te � referer � dans la sp�cification HTTP est connu pour �tre une faute d'orthographe du mot � referrer �, mais il n'a pas �t� modifi�, car nous ne cassons pas l'espace utilisateur.

Modifier les API sans perturber l'espace utilisateur

Il est honn�tement difficile de trouver des exemples o� une API n�cessite vraiment une modification radicale. Mais parfois, la valeur technique d'une modification est suffisamment �lev�e pour que vous d�cidiez de prendre votre courage � deux mains et de la faire quand m�me. Dans ces cas-l�, comment modifier votre API de mani�re responsable ? La r�ponse est la gestion des versions.

La gestion des versions d'API signifie � servir � la fois l'ancienne et la nouvelle version de votre API �. Les consommateurs existants peuvent continuer � utiliser l'ancienne version, tandis que les nouveaux consommateurs peuvent opter pour la nouvelle. La fa�on la plus simple de proc�der est d'inclure quelque chose comme /v1/ dans l'URL de votre API. L'API de chat d'OpenAI se trouve � l'adresse v1/chat/completions. Ainsi, si jamais ils souhaitent remanier totalement la structure, ils peuvent le faire dans v2/chat/completions tout en permettant aux consommateurs existants de continuer � fonctionner.

Une fois que les anciennes et nouvelles versions fonctionnent simultan�ment, vous pouvez commencer � demander aux utilisateurs de passer � la nouvelle version. Cela prend beaucoup de temps : des mois, voire des ann�es. M�me avec des banni�res sur le site web, des documents, des e-mails personnalis�s et des en-t�tes dans les r�ponses API, lorsque vous supprimerez enfin l'ancienne version, vous aurez encore beaucoup d'utilisateurs m�contents que vous ayez rendu leur logiciel inutilisable. Mais au moins, vous aurez fait tout ce que vous pouviez.

Il existe de nombreuses autres fa�ons de g�rer les versions d'API. L'API Stripe g�re les versions dans un en-t�te et permet aux comptes de d�finir leur version par d�faut dans l'interface utilisateur. Mais le principe est le m�me : tous les utilisateurs de l'API Stripe peuvent �tre s�rs que Stripe ne d�cidera pas de rendre leurs applications inutilisables, et ils peuvent mettre � niveau les versions � leur propre rythme.

Je n'aime pas la gestion des versions d'API. Je pense qu'au mieux, c'est un mal n�cessaire, mais cela reste un mal. Cela pr�te � confusion pour les utilisateurs, qui ne peuvent pas facilement rechercher la documentation de votre API sans s'assurer que le s�lecteur de version correspond � la version qu'ils utilisent. Et c'est un cauchemar pour les responsables de la maintenance. Si vous avez trente points de terminaison API, chaque nouvelle version que vous ajoutez introduit trente nouveaux points de terminaison � maintenir. Vous vous retrouverez rapidement avec des centaines d'API qui devront toutes �tre test�es, d�bogu�es et faire l'objet d'un support client.

Bien s�r, l'ajout d'une nouvelle version ne double pas la taille de votre base de code. Tout backend de gestion des versions d'API sens� disposera d'une couche de traduction capable de convertir une r�ponse en n'importe laquelle de vos versions d'API publiques. Stripe dispose d'un syst�me similaire : la logique m�tier r�elle est la m�me pour toutes les versions, de sorte que seuls la s�rialisation et la d�s�rialisation des param�tres doivent tenir compte de la gestion des versions. Cependant, ce type d'abstraction pr�sente toujours des failles. Voir ce commentaire HN de 2017 d'un employ� de Stripe, soulignant que certaines modifications de versionnement n�cessitent une logique conditionnelle dans tout le � code central �.

En bref, vous ne devriez utiliser le versionnement des API qu'en dernier recours.

Le succ�s de votre API d�pend enti�rement du produit

Une API en soi ne fait rien. C'est une couche entre l'utilisateur et ce qu'il veut r�ellement. Pour l'API OpenAI, il s'agit de la capacit� � faire des inf�rences avec un mod�le linguistique. Pour l'API Twilio, il s'agit d'envoyer des SMS. Personne n'utilise une API parce que celle-ci est �l�gamment con�ue. Les utilisateurs l'utilisent pour interagir avec votre produit. Si votre produit est suffisamment int�ressant, les utilisateurs afflueront m�me vers une API m�diocre.

C'est pourquoi certaines des API les plus populaires sont un cauchemar � utiliser. Facebook et Jira sont connus pour avoir des API �pouvantables, mais cela n'a pas d'importance : si vous souhaitez vous int�grer � Facebook ou Jira, ce que vous faites, vous devez passer du temps � les comprendre. Bien s�r, ce serait bien si ces entreprises avaient une meilleure API. Mais pourquoi investir du temps et de l'argent pour l'am�liorer alors que les gens vont de toute fa�on s'y int�grer ? �crire de bonnes API est vraiment difficile.

Je vais donner de nombreux conseils concrets dans la suite de cet article sur la mani�re d'�crire de bonnes API. Mais il est important de se rappeler que la plupart du temps, cela n'a pas d'importance. Si votre produit est attractif, n'importe quelle API � peine fonctionnelle fera l'affaire ; s'il ne l'est pas, peu importe la qualit� de votre API. La qualit� de l'API est une caract�ristique marginale : elle n'a d'importance que lorsqu'un consommateur doit choisir entre deux produits fondamentalement �quivalents.

Soit dit en passant, la pr�sence d'une API est une tout autre histoire. Si un produit ne dispose d'aucune API, cela pose un gros probl�me. Les utilisateurs techniques exigeront un moyen d'int�grer le logiciel qu'ils ach�tent via du code.

Les produits mal con�us ont g�n�ralement de mauvaises API

Une API techniquement excellente ne peut pas sauver un produit que personne ne veut utiliser. Cependant, un produit techniquement m�diocre peut rendre presque impossible la cr�ation d'une API �l�gante. En effet, la conception d'une API suit g�n�ralement les � ressources de base � d'un produit (par exemple, les ressources de Jira seraient les probl�mes, les projets, les utilisateurs, etc. ). Lorsque ces ressources sont mal configur�es, l'API l'est �galement.

Prenons l'exemple d'un syst�me de blog qui stocke les commentaires en m�moire sous forme de liste li�e (chaque commentaire comporte un champ � next � qui pointe vers le commentaire suivant dans le fil). C'est une tr�s mauvaise fa�on de stocker les commentaires. La mani�re la plus na�ve d'int�grer une API REST � ce syst�me serait d'avoir une interface qui ressemble � ceci :

GET /comments/1 -> { id: 1, body: � ... �, next_comment_id: 2 }Ou pire encore, comme ceci :

GET /comments -> {body: � ... �, next_comment: { body: � ... �, next_comment: {...}}}Cet exemple peut sembler ridicule, car en pratique, il suffirait d'it�rer sur la liste li�e et de renvoyer un tableau de commentaires dans la r�ponse de l'API. Mais m�me si vous �tes pr�t � faire ce travail suppl�mentaire, jusqu'o� allez-vous it�rer ? Dans un fil de discussion contenant des milliers de commentaires, est-il impossible de r�cup�rer les commentaires apr�s les quelques centaines premiers ? Votre API de r�cup�ration des commentaires devra-t-elle utiliser une t�che en arri�re-plan, obligeant l'interface � se transformer en quelque chose comme :

POST /comments/fetch_job/1 -> { job_id: 589 } GET /comments_job/589 -> { status: �complete�, comments: [...] }C'est ainsi que certaines des pires API voient le jour. Les contraintes techniques qui peuvent �tre habilement dissimul�es dans l'interface utilisateur sont mises � nu dans l'API, obligeant les consommateurs d'API � comprendre bien plus que n�cessaire la conception du syst�me.

Authentification

Vous devez permettre aux utilisateurs d'utiliser vos API avec une cl� API � longue dur�e de vie. Oui, les cl�s API ne sont pas aussi s�curis�es que diverses formes d'identifiants � courte dur�e de vie, comme OAuth (que vous devriez probablement �galement prendre en charge). Cela n'a pas d'importance. Chaque int�gration avec votre API commence par un simple script, et l'utilisation d'une cl� API est le moyen le plus simple de faire fonctionner un script simple. Vous voulez faciliter au maximum la t�che des ing�nieurs qui souhaitent se lancer.

Bien que les utilisateurs d'une API �crivent (presque par d�finition) du code, beaucoup d'entre eux ne sont pas des ing�nieurs professionnels. Il peut s'agir de commerciaux, de chefs de produit, d'�tudiants, d'amateurs, etc. Lorsque vous �tes ing�nieur dans une entreprise technologique et que vous d�veloppez une API, il est facile d'imaginer que vous la d�veloppez pour d'autres personnes comme vous : des ing�nieurs logiciels professionnels comp�tents � temps plein. Mais ce n'est pas le cas. Vous la d�veloppez pour un large �ventail de personnes, dont beaucoup ne sont pas � l'aise avec l'�criture ou la lecture de code. Si votre API exige des utilisateurs qu'ils effectuent des t�ches difficiles, comme une n�gociation OAuth, beaucoup d'entre eux auront des difficult�s.

Idempotence et nouvelles tentatives

Lorsqu'une requ�te API aboutit, vous savez qu'elle a fait ce qu'elle devait faire. Mais qu'en est-il lorsqu'elle �choue ? Certains types d'�checs vous indiquent ce qui s'est pass� : un 422 signifie g�n�ralement qu'elle a �chou� pendant la phase de validation de la requ�te, avant qu'aucune action n'ait �t� entreprise. Mais qu'en est-il d'un 500 ? Et d'un d�lai d'expiration ?

C'est important pour les op�rations API qui entra�nent une action. Si vous utilisez une API Jira pour cr�er un commentaire sur un ticket et que la requ�te renvoie une erreur 500 ou expire, devez-vous r�essayer ? Vous ne savez pas avec certitude si le commentaire a �t� cr�� ou non, car l'erreur peut survenir apr�s cette op�ration. Si vous r�essayez, vous risquez de publier deux commentaires. C'est encore plus important lorsque l'enjeu d�passe un simple commentaire Jira. Que se passe-t-il si vous transf�rez une certaine somme d'argent ? Que se passe-t-il si vous distribuez des m�dicaments ?

La solution est l'idempotence, un terme sophistiqu� qui signifie � la requ�te doit pouvoir �tre r�essay�e en toute s�curit� sans cr�er de doublons �. La m�thode standard pour y parvenir consiste � prendre en charge une � cl� d'idempotence � dans la requ�te (par exemple, une cha�ne d�finie par l'utilisateur dans un param�tre ou un en-t�te). Lorsque le serveur API re�oit une requ�te � cr�er un commentaire � avec une cl� d'idempotence, il v�rifie d'abord s'il a d�j� vu cette cl� d'idempotence. Si c'est le cas, il ne fait rien ; sinon, il cr�e le commentaire, puis enregistre la cl� d'idempotence. De cette fa�on, vous pouvez envoyer autant de nouvelles tentatives que vous le souhaitez, � condition qu'elles aient toutes la m�me cl� d'idempotence : l'op�ration ne sera effectu�e qu'une seule fois.

Comment stocker la cl� ? J'ai vu des gens la stocker de mani�re durable et sp�cifique � une ressource (par exemple, dans une colonne du tableau des commentaires), mais je ne pense pas que cela soit strictement n�cessaire. Le plus simple est de la placer dans Redis ou dans un magasin cl�/valeur similaire (avec la cl� d'idempotence comme cl�). Les UUID sont suffisamment uniques pour que vous n'ayez pas besoin de les limiter � un utilisateur, mais vous pouvez tout aussi bien le faire. Si vous ne traitez pas de paiements, vous pouvez m�me les faire expirer apr�s quelques heures, car la plupart des nouvelles tentatives ont lieu imm�diatement.

Avez-vous besoin de cl�s d'idempotence pour chaque requ�te ? Eh bien, vous n'en avez pas besoin pour les requ�tes de lecture, car les doubles lectures sont inoffensives. Vous n'en avez g�n�ralement pas besoin non plus pour les requ�tes de suppression, car si vous supprimez par ID de ressource, cet ID sert de cl� d'idempotence. R�fl�chissez-y : si vous envoyez trois requ�tes DELETE comments/32 � la suite, cela ne supprimera pas trois commentaires. La premi�re requ�te r�ussie supprimera le commentaire avec l'ID 32, et les requ�tes restantes renverront une erreur 404 lorsqu'elles ne trouveront pas le commentaire d�j� supprim�.

Dans la plupart des cas, l'idempotence doit �tre facultative. Comme je l'ai dit plus haut, vous devez vous assurer que votre API est accessible aux non-ing�nieurs (qui trouvent souvent l'idempotence difficile � comprendre). Dans l'ensemble, il est plus important d'attirer davantage de personnes vers votre API que de supprimer les commentaires dupliqu�s occasionnels des utilisateurs qui n'ont pas lu la documentation.

S�curit� et limitation du d�bit

Les utilisateurs qui interagissent avec votre interface utilisateur sont limit�s par la vitesse de leurs mains. Si certains flux sont co�teux � traiter pour votre backend, un utilisateur malveillant ou n�gligent ne peut d�clencher ces flux qu'� la vitesse � laquelle il peut cliquer dessus. Les API sont diff�rentes. Toute op�ration que vous exposez via une API peut �tre appel�e � la vitesse du code.

Soyez prudent avec les API qui effectuent beaucoup de t�ches en une seule requ�te. Lorsque je travaillais chez Zendesk, nous avions une API qui permettait d'envoyer des notifications � tous les utilisateurs d'une application particuli�re. Certains d�veloppeurs tiers entreprenants l'ont utilis�e pour cr�er un syst�me de chat int�gr� � l'application, dans lequel chaque message envoyait une notification � tous les autres utilisateurs du compte. Pour les comptes comptant plus d'une poign�e d'utilisateurs actifs, cela a syst�matiquement plant� le serveur backend des applications.

Nous n'avions pas pr�vu que des personnes cr�eraient une application de chat � partir de cette API. Mais une fois qu'elle a �t� mise en place, les gens en ont fait ce qu'ils voulaient. J'ai particip� � de tr�s nombreux appels d'urgence dont la cause principale �tait une int�gration client artisanale qui effectuait des t�ches absurdes, telles que :

Cr�er et supprimer les m�mes enregistrements des centaines de fois par minute, sans raison valable
Interroger un point de terminaison /index volumineux sans d�lai entre les requ�tes, ind�finiment
Importer ou exporter une tonne de donn�es sans reculer en cas d'erreurs

Vous devez limiter le d�bit de votre API, avec des limites plus strictes pour les op�rations co�teuses. Il est �galement judicieux de se r�server la possibilit� de d�sactiver temporairement l'API pour certains clients, afin de soulager votre syst�me backend s'il est vraiment satur�.

Incluez des m�tadonn�es de limitation de d�bit dans vos r�ponses API. Les en-t�tes X-Limit-Remaining et Retry-After fournissent aux clients les informations dont ils ont besoin pour utiliser votre API de mani�re respectueuse et vous permettent de d�finir des limites de d�bit plus strictes que vous ne pourriez le faire autrement.

Pagination

Presque toutes les API doivent traiter une longue liste d'enregistrements. Parfois, cette liste est tr�s longue (par exemple, l'API Zendesk /tickets peut contenir des millions de tickets). Comment pouvez-vous servir ces enregistrements ?

Une approche na�ve SELECT * FROM tickets WHERE... �puisera votre m�moire disponible (si ce n'est pas dans la base de donn�es, alors dans la couche applicative o� vous essayez de s�rialiser cette liste d'un million d'�l�ments). Vous ne pouvez tout simplement pas servir tous les tickets en une seule requ�te. Vous devez plut�t paginer.

La fa�on la plus simple de paginer est d'utiliser des pages (ou des � d�calages �, de mani�re plus g�n�rique). Lorsque vous cliquez sur /tickets, vous obtenez les dix premiers tickets du compte. Pour en obtenir davantage, vous devez cliquer soit sur /tickets?page=2, soit sur /tickets?offset=20. Cela est facile � mettre en �uvre, car le serveur peut simplement ajouter OFFSET 20 LIMIT 10 � la fin de la requ�te de base de donn�es. Mais cela ne fonctionne pas avec un nombre tr�s �lev� d'enregistrements. Les bases de donn�es relationnelles doivent compter votre d�calage � chaque fois, de sorte que chaque page que vous servez est un peu plus lente que la pr�c�dente. Lorsque votre d�calage atteint des centaines de milliers, cela devient un v�ritable probl�me.

La solution est la � pagination bas�e sur le curseur �. Au lieu de passer offset=20 pour obtenir la deuxi�me page, vous prenez le dernier ticket de la premi�re page (par exemple, avec l'ID 32) et vous passez cursor=32. L'API renverra alors les dix tickets suivants, en commen�ant par le ticket num�ro 32. Au lieu d'utiliser OFFSET, la requ�te devient WHERE id > curseur ORDER BY id LIMIT 10. Cette requ�te est tout aussi rapide, que vous soyez au d�but de la collection ou � des centaines de milliers de tickets, car la base de donn�es peut trouver instantan�ment la position (index�e) de votre ticket curseur au lieu d'avoir � compter tout le d�calage.

Vous devez toujours utiliser la pagination bas�e sur le curseur pour les ensembles de donn�es qui pourraient finir par �tre volumineux. M�me si cela est plus difficile � comprendre pour les consommateurs, lorsque vous rencontrez des probl�mes de mise � l'�chelle, vous devrez peut-�tre passer � la pagination bas�e sur le curseur, et le co�t de cette modification est souvent tr�s �lev�. Cependant, je pense qu'il est acceptable d'utiliser la pagination bas�e sur les pages ou les d�calages dans les autres cas.

Il est g�n�ralement judicieux d'inclure un champ next_page dans les r�ponses de votre liste API. Cela �vite aux consommateurs d'avoir � d�terminer eux-m�mes le num�ro de la page suivante ou le curseur.

Champs facultatifs et GraphQL

Si certaines parties de votre r�ponse API sont co�teuses � fournir, rendez-les facultatives. Par exemple, si la r�cup�ration du statut d'abonnement de l'utilisateur n�cessite que votre backend effectue un appel API, envisagez de faire en sorte que votre point de terminaison /users/:id ne renvoie pas l'abonnement � moins que la requ�te ne transmette un param�tre include_subscription. De mani�re plus g�n�rale, vous pouvez utiliser un param�tre de tableau includes avec tous vos champs facultatifs. Cette approche est souvent utilis�e pour les enregistrements associ�s (par exemple, vous pouvez passer includes: [posts] � votre requ�te utilisateur pour obtenir les publications de l'utilisateur dans la r�ponse).

Cela fait partie de l'id�e derri�re GraphQL, un style d'API o�, au lieu d'atteindre diff�rents points de terminaison par op�ration, vous cr�ez une seule requ�te avec toutes les donn�es dont vous avez besoin et le backend s'en charge.

Je n'aime pas beaucoup GraphQL, pour trois raisons. Premi�rement, il est totalement incompr�hensible pour les non-ing�nieurs (et pour de nombreux ing�nieurs). Une fois que vous l'avez appris, c'est un outil comme un autre, mais la barri�re � l'entr�e est tellement plus �lev�e que GET /users/1. Deuxi�mement, je n'aime pas donner aux utilisateurs la libert� de cr�er des requ�tes arbitraires. Cela complique la mise en cache et augmente le nombre de cas limites auxquels vous devez r�fl�chir. Troisi�mement, d'apr�s mon exp�rience, la mise en �uvre du backend est beaucoup plus compliqu�e que celle d'une API REST standard.

Je n'ai pas une aversion profonde pour GraphQL. Je l'ai utilis� pendant environ six mois dans divers contextes et je suis loin d'�tre un expert. Je suis s�r qu'il existe des cas d'utilisation o� il offre suffisamment de flexibilit� pour en valoir la peine. Mais pour l'instant, je ne l'utiliserais que lorsque c'est absolument n�cessaire.

API internes

Tout ce que j'ai dit jusqu'� pr�sent concerne les API publiques. Qu'en est-il des API internes, c'est-�-dire celles qui ne sont utilis�es que par vos coll�gues au sein d'une entreprise donn�e ? Certaines des hypoth�ses que j'ai formul�es ci-dessus ne s'appliquent pas aux API internes. Par exemple, vos consommateurs sont g�n�ralement des ing�nieurs logiciels professionnels. Il est �galement possible d'apporter des modifications radicales en toute s�curit�, car (a) vous avez souvent un nombre d'utilisateurs nettement inf�rieur et (b) vous avez la possibilit� d'intervenir et de fournir un nouveau code � tous ces utilisateurs. Vous pouvez exiger une forme d'authentification aussi complexe que vous le souhaitez.

Cependant, les API internes peuvent toujours �tre � l'origine d'incidents et doivent rester idempotentes pour les op�rations cl�s.

R�sum�

Les API sont difficiles � cr�er car elles sont rigides, mais elles doivent �tre faciles � adopter.
La principale responsabilit� des responsables de la maintenance des API est de NE PAS PERTURBER L'ESPACE UTILISATEUR. N'apportez jamais de modifications radicales aux API publiques.
La gestion des versions de votre API vous permet d'apporter des modifications, mais impose des obstacles importants en termes de mise en �uvre et d'adoption.
Si votre produit a suffisamment de valeur, la qualit� de votre API n'a pas vraiment d'importance, les gens l'utiliseront de toute fa�on.
Si votre produit est suffisamment mal con�u, peu importe le soin que vous apportez � la conception de votre API, elle sera probablement mauvaise.
Votre API doit prendre en charge des cl�s API simples pour l'authentification, car bon nombre de vos utilisateurs ne seront pas des ing�nieurs professionnels.
Les requ�tes qui entra�nent une action (en particulier les actions � haut risque comme les paiements) doivent inclure une sorte de cl� d'idempotence afin de s�curiser les nouvelles tentatives.
Votre API sera toujours une source d'incidents. Assurez-vous de mettre en place des limites de d�bit et des coupe-circuits.
Utilisez la pagination par curseur pour les ensembles de donn�es qui pourraient finir par �tre tr�s volumineux.
Rendez les champs co�teux facultatifs et d�sactiv�s par d�faut, mais (� mon avis) GraphQL est excessif.
Les API internes sont diff�rentes � certains �gards (car vos consommateurs sont tr�s diff�rents).

Qu'est-ce que je n'ai pas abord� ? Je n'ai pas beaucoup parl� de REST vs SOAP, ou JSON vs XML, car je ne pense pas que ces questions soient particuli�rement importantes. J'aime bien REST et JSON, mais je n'ai pas d'avis tranch� � ce sujet. Je n'ai pas non plus mentionn� le sch�ma OpenAPI. C'est un outil utile, mais je pense qu'il est tout � fait possible de r�diger la documentation de votre API en Markdown si vous le souhaitez.

edit : cet article a fait l'objet de nombreuses discussions et commentaires sur Hacker News et Reddit. Les commentateurs ont soulign� que j'aurais d� mentionner PUT dans ma section sur l'idempotence, car il est cens� �tre idempotent de par sa conception. Je suppose que c'est vrai, mais je ne l'ai pas beaucoup vu en pratique et, � mon avis, il n'y a rien dans le verbe HTTP qui le rende intrins�quement plus idempotent que POST. L'utilisation de Redis comme magasin d'idempotence a �galement suscit� certaines inqui�tudes, car il est impossible d'obtenir des op�rations atomiques s�res qui coordonnent Redis et votre base de donn�es. C'est une pr�occupation l�gitime pour les paiements ou les domaines � haut risque, mais ajouter Redis � une API non idempotente existante reste bien mieux que rien.

Source : "Everything I know about good API design"

Et vous ?

:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: La plupart des API RESTful ne sont pas vraiment RESTful, par Florian Kr�mer

:fleche: Les API - les bons �l�ves de la transformation num�rique des entreprises, par Mourad Jaakou, Presales Manager d'Axway

:fleche: Les erreurs commises par les ing�nieurs logiciels dans les grandes bases de codes �tablies, par Sean Goedecke

La plupart des API RESTful ne sont pas vraiment RESTful, par Florian Kr�mer

Florian Kr�mer — Wed, 20 Aug 2025 09:40:11 GMT

La plupart des API RESTful ne sont pas vraiment RESTful, par Florian Kr�mer

Lorsque l'on parle de REST, il est int�ressant de lire la th�se de Roy Thomas Fielding. L'article original qui d�crit le web RESTful, � Architectural Styles and the Design of Network-based Software Architectures � de Roy T. Fielding (2000), pr�sente le style architectural Representational State Transfer (REST) comme un cadre pour la conception de syst�mes en r�seau �volutifs, performants et faciles � maintenir, en particulier les services web.

Cet article vise � analyser les styles architecturaux des syst�mes en r�seau, en identifiant leurs forces et leurs faiblesses. Il d�finit REST comme un style architectural sp�cifique optimis� pour le web moderne, ax� sur l'�volutivit�, la simplicit� et l'adaptabilit�.

Fielding d�montre comment les principes REST contribuent au succ�s du web, en pr�conisant leur adoption dans la conception de syst�mes distribu�s avec des interfaces universelles et sans �tat et des interactions claires bas�es sur les ressources.

Dans sa th�se, il ne prescrit pas l'utilisation sp�cifique des verbes HTTP (tels que GET, POST, PUT, DELETE) et ne se concentre pas sur les API de type CRUD, comme c'est souvent le cas aujourd'hui avec la mise en �uvre de REST.

La th�se d�crit clairement REST comme un style architectural qui fournit des principes et des contraintes pour la cr�ation d'applications en r�seau, en utilisant le web comme exemple fondamental.

Roy Fielding a explicitement critiqu� la simplification excessive de REST dans les API de type CRUD, soulignant que de nombreuses API dites � RESTful � ne parviennent pas � mettre en �uvre les contraintes cl�s de REST, en particulier l'utilisation de l'hyperm�dia pour piloter les transitions d'�tat des applications. Dans son article de blog de 2008, � Les API REST doivent �tre pilot�es par l'hypertexte �, Fielding d�clare :

Citation:

� Si le moteur de l'�tat de l'application (et donc l'API) n'est pas pilot� par l'hypertexte, alors il ne peut pas �tre RESTful et ne peut pas �tre une API REST. Point final. �

Cela souligne son point de vue selon lequel, sans contr�les hyperm�dia, une API ne r�pond pas au style architectural REST. Les contr�les hyperm�dia sont des �l�ments int�gr�s dans une repr�sentation de ressource qui guident les clients sur les actions qu'ils peuvent entreprendre ensuite.

Voici quelques id�es fausses courantes concernant ce que les gens consid�rent comme REST :

REST est CRUD (c'est souvent le cas, mais pas toujours)
Une ressource est une entit� (souvent une entit� persistante).
Une API RESTful ne doit pas utiliser de verbes.

Mais il s'agit en r�alit� de d�cisions de conception prises pour l'API en question, choisies par leurs cr�ateurs et qui n'ont rien � voir avec REST.

Que signifie � pilot� par l'hypertexte � ?

L'expression � non pilot� par l'hypertexte � dans la critique de Roy Fielding fait r�f�rence � l'absence de l'hyperm�dia comme moteur de l'�tat de l'application (HATEOAS) dans de nombreuses API qui se pr�tendent RESTful. HATEOAS est un principe fondamental de REST, qui exige que le client d�couvre dynamiquement les actions et les interactions gr�ce � des liens hyperm�dia int�gr�s dans les r�ponses du serveur, plut�t que de s'appuyer sur des connaissances hors bande (par exemple, la documentation de l'API).

Code:

1
2
3
4
5
6
7
{
  "orderId": 123,
  "_links": {
    "self": { "href": "/orders/123" },
    "cancel": { "href": "/orders/123/cancel", "method": "POST" }
  }
}

Le probl�me central qu'il aborde est le couplage client-serveur. Il existe probablement d'innombrables projets dans lesquels une petite modification de la structure URI d'un serveur a n�cessit� un d�ploiement coordonn� (et souvent p�nible) de plusieurs applications clientes. Une approche bas�e sur HATEOAS r�sout directement ce probl�me en d�couplant le client de l'espace de noms du serveur. Cela permet d'am�liorer la qualit� de l'�volutivit�.

La simple mise en �uvre de HATEOAS vous rapprochera davantage des principes RESTful que de d�battre de la question de savoir si les verbes sont autoris�s dans votre API.

Qu'est-ce qu'une � ressource � ?

Les gens d�battent souvent de ce qu'est une ressource dans REST. J'ai vu plus ou moins souvent des gens exprimer l'opinion qu'une ressource est une structure de donn�es provenant du serveur, malheureusement souvent m�me �quivalente � une entit� persistante.

Voyons ce que Fielding en dit :

Citation:

L'abstraction cl� de l'information dans REST est une ressource. Toute information pouvant �tre nomm�e peut �tre une ressource : un document ou une image, un service temporel (par exemple � la m�t�o d'aujourd'hui � Los Angeles �), une collection d'autres ressources, un objet non virtuel (par exemple une personne), etc. En d'autres termes, tout concept pouvant �tre la cible d'une r�f�rence hypertexte d'un auteur doit correspondre � la d�finition d'une ressource. Une ressource est un mappage conceptuel vers un ensemble d'entit�s, et non l'entit� qui correspond au mappage � un moment donn�.

La s�mantique est un sous-produit de l'acte d'attribuer des identifiants de ressources et de remplir ces ressources avec des repr�sentations. � aucun moment, le serveur ou le logiciel client n'ont besoin de conna�tre ou de comprendre la signification d'un URI : ils agissent simplement comme un canal par lequel le cr�ateur d'une ressource (une autorit� de nommage humaine) peut associer des repr�sentations � la s�mantique identifi�e par l'URI. En d'autres termes, il n'y a pas de ressources sur le serveur, mais seulement des m�canismes qui fournissent des r�ponses via une interface abstraite d�finie par les ressources. Cela peut sembler �trange, mais c'est l'essence m�me de ce qui permet au Web de fonctionner � travers tant d'impl�mentations diff�rentes.

Examinons maintenant la RFC 3986 :

Citation:

Cette sp�cification ne limite pas la port�e de ce qui peut �tre consid�r� comme une ressource ; le terme � ressource � est plut�t utilis� dans un sens g�n�ral pour d�signer tout ce qui peut �tre identifi� par un URI. Parmi les exemples courants, on peut citer un document �lectronique, une image, une source d'informations ayant un objectif coh�rent (par exemple, � les pr�visions m�t�o du jour pour Los Angeles �), un service (par exemple, une passerelle HTTP vers SMS) et un ensemble d'autres ressources. Une ressource n'est pas n�cessairement accessible via Internet ; par exemple, les �tres humains, les entreprises et les livres reli�s dans une biblioth�que peuvent �galement �tre des ressources. De m�me, des concepts abstraits peuvent �tre des ressources, tels que les op�rateurs et les op�randes d'une �quation math�matique, les types de relation (par exemple, � parent � ou � employ� �) ou les valeurs num�riques (par exemple, z�ro, un et l'infini).

Les exemples d'URI suivants sont �galement tir�s de la RFC :

Code:

ftp://ftp.is.co.za/rfc/rfc1808.txt
http://www.ietf.org/rfc/rfc2396.txt
ldap://[2001:db8::7]/c=GB?objectClass?one
mailto:John.Doe@example.com
news:comp.infosystems.www.servers.unix
tel:+1-816-555-1212
telnet://192.0.2.16:80/
urn:oasis:names:specification:docbook:dtd:xml:4.1.2

Conclusion sur les ressources

Une ressource peut �tre pratiquement tout ce qui peut �tre adress� par un URI. Il peut s'agir d'un objet physique, d'un concept, d'un document, d'un service ou m�me d'une chose virtuelle ou abstraite, � condition qu'elle puisse �tre identifi�e et repr�sent�e de mani�re unique.

Ce que Fielding consid�re comme une API RESTful

En 2008, Fielding a exprim� sa frustration : Source

Citation:

Je suis frustr� par le nombre de personnes qui qualifient toute interface bas�e sur HTTP d'API REST.

Fielding d�crit six r�gles � prendre en compte avant de qualifier votre API d'API RESTful Source.

Citation:

Concepteurs d'API, veuillez noter les r�gles suivantes avant de qualifier votre cr�ation d'API REST :

Une API REST ne doit pas d�pendre d'un protocole de communication unique, m�me si son mappage r�ussi � un protocole donn� peut d�pendre de la disponibilit� des m�tadonn�es, du choix des m�thodes, etc. En g�n�ral, tout �l�ment de protocole qui utilise un URI pour l'identification doit permettre l'utilisation de n'importe quel sch�ma URI � des fins d'identification. [Un �chec � cet �gard implique que l'identification n'est pas s�par�e de l'interaction.]
Une API REST ne doit pas contenir de modifications des protocoles de communication, � l'exception du remplissage ou de la correction des d�tails des bits sous-sp�cifi�s des protocoles standard, tels que la m�thode PATCH ou le champ d'en-t�te Link de HTTP. Les solutions de contournement pour les impl�mentations d�fectueuses (telles que les navigateurs assez stupides pour croire que HTML d�finit l'ensemble des m�thodes HTTP) doivent �tre d�finies s�par�ment, ou au moins dans des annexes, en esp�rant que la solution de contournement finira par devenir obsol�te. [Tout manquement � cette r�gle implique que les interfaces de ressources sont sp�cifiques � un objet et non g�n�riques.]
Une API REST doit consacrer la quasi-totalit� de ses efforts descriptifs � la d�finition des types de m�dias utilis�s pour repr�senter les ressources et piloter l'�tat de l'application, ou � la d�finition de noms de relations �tendus et/ou de balises hypertextes pour les types de m�dias standard existants. Tout effort consacr� � la description des m�thodes � utiliser sur les URI d'int�r�t doit �tre enti�rement d�fini dans le cadre des r�gles de traitement d'un type de m�dia (et, dans la plupart des cas, d�j� d�fini par les types de m�dias existants). [Tout manquement � cette r�gle implique que l'interaction est pilot�e par des informations hors bande plut�t que par l'hypertexte.]
Une API REST ne doit pas d�finir de noms ou de hi�rarchies de ressources fixes (couplage �vident entre le client et le serveur). Les serveurs doivent avoir la libert� de contr�ler leur propre espace de noms. Au lieu de cela, permettez aux serveurs d'indiquer aux clients comment construire des URI appropri�s, comme cela se fait dans les formulaires HTML et les mod�les d'URI, en d�finissant ces instructions dans les types de m�dias et les relations de lien. [Un �chec � cet �gard implique que les clients supposent une structure de ressources en raison d'informations hors bande, telles qu'une norme sp�cifique � un domaine, qui est l'�quivalent orient� donn�es du couplage fonctionnel du RPC].
Une API REST ne doit jamais comporter de ressources � typ�es � qui sont significatives pour le client. Les auteurs de sp�cifications peuvent utiliser des types de ressources pour d�crire l'impl�mentation du serveur derri�re l'interface, mais ces types doivent �tre sans importance et invisibles pour le client. Les seuls types qui sont significatifs pour un client sont le type de m�dia de la repr�sentation actuelle et les noms de relations standardis�s. [idem]
Une API REST doit �tre accessible sans connaissance pr�alable autre que l'URI initiale (signet) et un ensemble de types de m�dias standardis�s adapt�s au public vis� (c'est-�-dire compr�hensibles par tout client susceptible d'utiliser l'API). � partir de l�, toutes les transitions d'�tat de l'application doivent �tre d�termin�es par le choix du client parmi les options fournies par le serveur qui sont pr�sentes dans les repr�sentations re�ues ou implicites dans la manipulation de ces repr�sentations par l'utilisateur. Les transitions peuvent �tre d�termin�es (ou limit�es) par la connaissance qu'a le client des types de m�dias et des m�canismes de communication des ressources, qui peuvent tous deux �tre am�lior�s � la vol�e (par exemple, code � la demande). [Un �chec � ce niveau implique que ce sont des informations hors bande qui d�terminent l'interaction plut�t que l'hypertexte.]

Mais qu'est-ce que tout cela signifie exactement ? Pour �tre honn�te, sans y consacrer du temps et de la r�flexion, je ne l'ai pas compris non plus la premi�re fois que je l'ai lu.

Interpr�tation des r�gles

Voici ma compr�hension de ces r�gles, n'h�sitez pas � ne pas �tre d'accord et discutons-en ! Je suis curieux de conna�tre d'autres points de vue ou opinions � leur sujet.

1. Ne d�pendez pas d'un seul protocole

Une API REST utilise des identifiants de ressources uniformes (URI) pour nommer les �l�ments. Une URL (http://...) n'est qu'un type sp�cifique d'URI qui inclut �galement un emplacement. Le principe cl� ici est que l'identit� fondamentale d'une ressource doit �tre s�par�e de son m�canisme d'acc�s.

Un URI (Uniform Resource Identifier) est un concept large qui d�signe toute cha�ne de caract�res utilis�e pour identifier une ressource, tandis qu'une URL (Uniform Resource Locator) est un type sp�cifique d'URI qui non seulement identifie une ressource, mais fournit �galement un moyen de la localiser en d�crivant son m�canisme d'acc�s principal (tel que son emplacement r�seau).

Votre API doit fonctionner avec n'importe quel URI et ne pas d�pendre de m�canismes sp�cifiques � HTTP.

2. Ne modifiez pas le protocole

Respectez les normes existantes (comme HTTP). Si un �l�ment de la norme est vague, clarifiez-le. N'inventez pas de nouveaux comportements et ne modifiez pas ceux qui existent d�j�.

Ne piratez pas et ne red�finissez pas le fonctionnement de HTTP. Corrigez les lacunes, mais ne modifiez pas les r�gles.

Si HTTP ne d�finit pas enti�rement le fonctionnement de PATCH, vous pouvez le clarifier. Mais ne red�finissez pas GET pour �galement supprimer des donn�es simplement parce que c'est pratique.

3. Concentrez-vous sur les types de m�dias, pas sur les URI

Votre API doit d�finir comment comprendre et utiliser les donn�es qu'elle renvoie, � travers les types de m�dias (tels que JSON, HTML) et les liens, et non se concentrer sur la structure des URI ou les actions � appeler.

Consacrez votre �nergie � la conception du format des donn�es et des liens qu'elles contiennent, et non � la documentation des URL � utiliser.

Au lieu de documenter que vous devez envoyer une requ�te POST � /users/123/activate, votre API doit renvoyer une repr�sentation de l'utilisateur dans un format compatible avec l'hyperm�dia (comme application/hal+json ou un type personnalis� comme application/vnd.myapp.user+json).

Code:

1
2
3
4
5
6
7
8
{
  "name": "John Doe",
  "status": "inactive",
  "_links": {
    "self": { "href": "/users/123" },
    "activate": { "href": "/users/123/activate", "method": "POST" }
  }
}

Le code client ne conna�t pas le chemin /users/123/activate. Il sait seulement que le type de m�dia d�finit une relation de lien � activate � et utilise le href et la m�thode fournis dans la r�ponse pour effectuer l'action.

4. Ne codifiez pas en dur les structures d'URI

Cette r�gle est la cons�quence directe de la r�gle n� 3. Les clients ne doivent pas supposer ou coder en dur des chemins tels que /users/123/posts. Ils doivent plut�t d�couvrir les URI via les liens fournis par le serveur. Les clients doivent apprendre les URI de mani�re dynamique.

Un client ne doit pas supposer que les publications d'un utilisateur se trouvent � l'adresse /users/123/posts. Il doit lire un lien comme celui-ci � partir de la ressource :

5. �vitez les � types � de ressources

La classification interne d'une ressource par le serveur (par exemple, utilisateur ou administrateur) doit �tre totalement ind�pendante et invisible pour le client.

Le client ne doit pas se soucier du type d'entit� qu'une ressource repr�sente en interne (comme utilisateur, administrateur, mod�rateur). Il doit uniquement se soucier du type de m�dia (comme application/json) et des liens/actions qu'il voit.

N'exposez pas les types d'objets ou les r�les internes. Envoyez simplement une r�ponse bien structur�e avec des liens utiles. Ne demandez pas au client de savoir qu'une ressource est de type Admin. Donnez-lui simplement une r�ponse application/json coh�rente avec des liens et des donn�es pertinents.

Par � noms de relations standardis�s �, il fait r�f�rence aux relations de liens enregistr�es par l'IANA.

6. Commencez par un signet et suivez les liens

Le client ne devrait avoir besoin que d'un seul point de d�part (par exemple, une URL de base, un signet) et d'une connaissance des types de m�dias standard. Tout le reste (quoi faire, o� aller) devrait provenir des r�ponses du serveur.

Les clients doivent suivre les liens comme s'ils naviguaient sur un site web, en commen�ant par la page d'accueil et en cliquant sur les liens, sans coder en dur les chemins d'acc�s.

Commencez par https://api.example.com/ et suivez les liens dans chaque r�ponse :

Code:

1
2
3
4
5
6
{
  "_links": {
    "user": { "href": "/users/123" },
    "orders": { "href": "/users/123/orders" }
  }
}

Dans la pratique, tr�s peu d'API respectent ces principes. La section suivante examine pourquoi.

Pourquoi la plupart des API ne sont-elles pas v�ritablement RESTful ?

L'adoption g�n�ralis�e d'un style plus simple, similaire au RPC, sur HTTP peut probablement �tre attribu�e � des compromis pratiques en mati�re d'outils et d'exp�rience des d�veloppeurs : l'�cosyst�me autour de sp�cifications telles que OpenAPI s'est d�velopp� rapidement, offrant des avantages imm�diats qui se sont av�r�s irr�sistibles pour les �quipes de d�veloppement. Ces outils offraient des fonctionnalit�s puissantes telles que la g�n�ration automatique de code client/serveur, une documentation interactive et la validation des requ�tes pr�te � l'emploi. Pour une �quipe soumise � la pression de livrer, le contrat clair et statique fourni par une d�finition OpenAPI �tait et est probablement encore souvent consid�r� comme � suffisant �, rendant les avantages architecturaux � long terme de HATEOAS, tels que l'�volutivit�, abstraits et moins urgents.

De plus, la charge cognitive initiale li�e � la cr�ation d'un client v�ritablement hyperm�dia �tait per�ue comme un obstacle important. Il semblait plus facile pour un d�veloppeur de lire la documentation et de coder en dur un mod�le d'URI tel que /users/{id}/orders que d'�crire un client capable d'analyser dynamiquement une section _links et de d�couvrir l'URI � orders � lors de l'ex�cution.

Dans de nombreux sc�narios courants, tels que le d�veloppement d'une application frontale � page unique par la m�me �quipe que le backend, le client et le serveur sont d�j� �troitement coupl�s. Dans ce contexte, le principal probl�me que HATEOAS r�sout, � savoir le d�couplage du client de la structure URI du serveur, ne se pr�sente pas comme un point sensible imm�diat, ce qui fait de l'approche plus simple, bas�e sur la documentation, la voie la moins r�sistante.

Conclusion

Les r�gles de Fielding soulignent qu'une API v�ritablement RESTful doit adopter l'hyperm�dia (HATEOAS) comme m�canisme central d'interaction, et ne pas se contenter d'utiliser HTTP comme moyen de transport. REST est ind�pendant du protocole dans son essence ; HTTP est simplement un moyen pratique de l'utiliser. Les clients doivent d�couvrir et naviguer dans les ressources de mani�re dynamique gr�ce � des liens et des relations standardis�es int�gr�s dans les repr�sentations, sans d�pendre de structures d'URI, de types ou de documentation externe cod�s en dur.

Cela rend les syst�mes REST faiblement coupl�s, �volutifs et align�s sur le fonctionnement du web lui-m�me : � travers la repr�sentation, la d�couverte et les transitions. REST ne consiste pas � exposer votre mod�le d'objet interne via HTTP, mais � construire des syst�mes distribu�s qui se comportent comme le web.

Par cons�quent, soyez simplement pragmatique. Personnellement, j'aime �viter le terme � RESTful � pour les raisons expos�es dans l'article et pr�f�re parler d'API bas�es sur � HTTP �. Construisez ce qui est logique pour votre projet et les consommateurs de votre API. Ignorez les dogmatiques qui pr�chent ce que devraient �tre ou ne pas �tre les API RESTful. Une API doit avant tout �tre facile � apprendre et difficile � utiliser � mauvais escient. Si elle r�pond � ces crit�res, peu importe qu'elle soit RESTful ou non. Suivez la loi de Postel si cela est logique dans votre cas : � Soyez conservateur dans ce que vous faites, soyez lib�ral dans ce que vous acceptez des autres. �.

Qui sont les utilisateurs de votre API ? Sera-t-elle facile � apprendre et � utiliser ? Son utilisation sera-t-elle intuitive ? Quelles sont les contraintes possibles ? Comment la versionnez-vous ? Quelles sont vos strat�gies de d�pr�ciation et de mise hors service ? Comment les modifications apport�es � l'API sont-elles communiqu�es efficacement aux utilisateurs ? Ces �l�ments sont bien plus importants que le format r�el de votre identifiant de ressource.

En utilisant HATEOAS et en r�f�ren�ant des d�finitions de sch�ma (telles que XSD ou JSON Schema) � partir de vos repr�sentations de ressources, vous pouvez permettre aux clients de comprendre la structure des donn�es et de naviguer dans l'API de mani�re dynamique. Cela peut prendre en charge des clients g�n�riques ou auto-adaptatifs. Si cela correspond � vos objectifs (par exemple, d�couplage des clients, �volutivit�, interaction dynamique), alors c'est un choix de conception valable et puissant. Si vous cr�ez une API publique pour des d�veloppeurs externes que vous ne contr�lez pas, investissez dans HATEOAS. Si vous cr�ez un backend pour un seul frontend contr�l� par votre propre �quipe, une API de type RPC plus simple peut �tre un choix plus pratique.

:arrow: L'auteur Florian Kr�mer poss�de plus de 20 ans d'exp�rience professionnelle, avec une sp�cialisation dans l'architecture et la qualit� du code, et est disponible pour des missions de conseil ou un poste d'architecte ou d'ing�nieur.

Source : "Most RESTful APIs aren't really RESTful"

Et vous ?

:fleche: Pensez-vous que cet avis est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Les API - les bons �l�ves de la transformation num�rique des entreprises, par Mourad Jaakou, Presales Manager d'Axway

:fleche: PostgREST : un serveur web autonome qui fournit une API RESTful � partir de n'importe quelle base de donn�es PostgreSQL, il permet de contourner les ORM

:fleche: Hypertext Transfer Protocol : l'adoption de HTTP/3 cro�t rapidement, d'apr�s Robin Marx, expert en protocoles et performances web chez Akamai

Compilation 32 bit sur machine Linux 64 bit

osenon — Fri, 11 Jul 2025 10:21:16 GMT

Bonjour
j'ai une vielle machine 32 bit sur laquelle je voudrais utiliser un ex�cutable Linux ; sur ma machine 64 bit , tout matche bien en utilisant la commande

Code:

gcc -I /usr/include/python3.11 -o hmk1b32 hmk1b.c -lm -lpython3.11

en 32 bit j'ai transform� et j'ai une erreur suivant sortie �cran suivante :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
$ gcc -I /usr/include/python3.11 -o -m32  hmk1b32  hmk1b.c -lm -lpython3.11

hmk1b.c: In function �__Pyx_main�:
hmk1b.c:176317:9: warning: �Py_SetProgramName� is deprecated [-Wdeprecated-declarations]
176317 |         Py_SetProgramName(argv[0]);
       |         ^~~~~~~~~~~~~~~~~
In file included from /usr/include/python3.11/Python.h:94,
                 from hmk1b.c:6:
/usr/include/python3.11/pylifecycle.h:37:38: note: declared here
   37 | Py_DEPRECATED(3.11) PyAPI_FUNC(void) Py_SetProgramName(const wchar_t *);
      |                                      ^~~~~~~~~~~~~~~~~
hmk1b.c:176320:9: warning: �PySys_SetArgv� is deprecated [-Wdeprecated-declarations]
176320 |         PySys_SetArgv(argc, argv);
       |         ^~~~~~~~~~~~~
In file included from /usr/include/python3.11/Python.h:96:
/usr/include/python3.11/sysmodule.h:13:38: note: declared here
   13 | Py_DEPRECATED(3.11) PyAPI_FUNC(void) PySys_SetArgv(int, wchar_t **);
      |                                      ^~~~~~~~~~~~~
/usr/bin/ld*: mode d'�mulation non reconnu*: 32
�mulations prises en charge*: elf_x86_64 elf32_x86_64 elf_i386 elf_iamcu i386pep i386pe
collect2: error: ld returned 1 exit status

note :j'ai install� les complements requis � savoir : libc6-dev-i386-x32-cross , gcc-multilib , g++multilib sur mon Linux Mx
Toute suggestion sera la bienvenue ; j'ai essay� de remplacer m32 par melf_i386 sans succes

Rendre un acc�s partiel d'un programme

davidif — Sat, 21 Jun 2025 13:39:46 GMT

Bonjour,

Actuellement je programme un MCU STmicro�lectronics STM32G431 sous l'environnement du fabriquant IDE STM32CubeIDE et et MX et afin de permettre � l'utilisateur de faire ces r�glages ou optimisation lui permettre l'acc�s � au moins deux fichiers .c et .h les autres fichiers reste illisible.
Peut-�tre compiler une partie ?... Est faisable ?

j'ai �galement l'interphase sous Delphi ?... sous lequel j'aimerai faire la m�me chose.

Merci de vos recommandation