Forum du club des d�veloppeurs et IT Pro - ALM

La forge logicielle GitLab 18.10 est disponible avec la d�tection agentique des faux positifs SAST

Anthony — Mon, 23 Mar 2026 09:45:22 GMT

La forge logicielle GitLab 18.10 est disponible avec la d�tection agentique des faux positifs pour les vuln�rabilit�s SAST, des cr�dits IA pour le niveau gratuit et la connexion � l'aide de cl�s d'acc�s

La version 18.10 de GitLab est d�sormais disponible. Cette mise � jour rend la d�tection des faux positifs SAST via la plateforme Duo Agent disponible en version g�n�rale, ce qui permet d'am�liorer le tri des vuln�rabilit�s pour les r�sultats critiques et de gravit� �lev�e. De plus, les propri�taires de groupes GitLab.com disposant d'un compte gratuit peuvent d�sormais acheter des cr�dits mensuels pour activer les fonctionnalit�s d'intelligence artificielle (IA) sans souscription. Cette version ajoute �galement la connexion sans mot de passe � l'aide de cl�s d'acc�s pour renforcer la s�curit� sur tous les appareils, ainsi que plusieurs autres am�liorations.

GitLab est un logiciel libre de forge bas� sur git proposant les fonctionnalit�s de wiki, un syst�me de suivi des bugs, l�int�gration continue et la livraison continue (CI/CD). D�velopp� par GitLab Inc et cr�� par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilis� par plusieurs grandes entreprises informatiques,dont IBM, Sony, la NASA, Alibaba, Oracle, O�Reilly Media, le CERN, et plus encore. GitLab peut �tre int�gr� � des produits destin�s aux d�veloppeurs, tels que AWS ou Google Cloud, et peut �tre contr�l� � distance via une API. Il est disponible en �dition communautaire et en �dition commerciale.

D�tection des faux positifs SAST avec la plateforme GitLab Duo Agent

La d�tection des faux positifs SAST, initialement lanc�e en version b�ta dans GitLab 18.7, est d�sormais disponible pour tous les utilisateurs dans GitLab 18.10.

Lorsqu'un scan de s�curit� est lanc�, la plateforme GitLab Duo Agent analyse chaque vuln�rabilit� SAST de gravit� critique ou �lev�e et d�termine la probabilit� qu'il s'agisse d'un faux positif. Cette �valuation appara�t directement dans le rapport de vuln�rabilit�, offrant ainsi aux �quipes le contexte n�cessaire pour effectuer un triage en toute confiance, sans incertitude.

Les principales fonctionnalit�s comprennent :

Analyse automatique : la d�tection des faux positifs s'ex�cute automatiquement apr�s chaque analyse de s�curit�, sans aucune intervention manuelle.
Option manuelle : les utilisateurs peuvent lancer manuellement la d�tection des faux positifs pour des vuln�rabilit�s sp�cifiques depuis la page de d�tails de la vuln�rabilit�, pour une analyse � la demande.
Priorit� aux r�sultats � fort impact : limiter l'analyse aux vuln�rabilit�s SAST critiques et de gravit� �lev�e permet de se concentrer sur l'essentiel.
Raisonnement contextuel bas� sur l'IA : chaque �valuation explique pourquoi un r�sultat peut �tre ou non un faux positif, en tenant compte du contexte du code, du flux de donn�es et des caract�ristiques de la vuln�rabilit� propres � l'analyse statique.
Int�gration transparente dans le flux de travail : les r�sultats apparaissent directement dans le rapport de vuln�rabilit�, aux c�t�s des informations existantes sur la gravit�, le statut et les mesures correctives � aucune modification des flux de travail existants n'est n�cessaire.

Cette fonctionnalit� est disponible pour les clients Ultimate disposant de la plateforme GitLab Duo Agent. Elle doit �tre activ�e dans les param�tres du groupe ou du projet.

Achat de cr�dits GitLab pour le niveau gratuit sur GitLab.com

Les propri�taires de groupes du niveau gratuit sur GitLab.com peuvent d�sormais acc�der aux fonctionnalit�s d'IA gr�ce aux cr�dits GitLab. Ils peuvent acheter un forfait mensuel de cr�dits, s'engager pour une dur�e d'un an et acc�der aux agents et aux flux de la plateforme GitLab Duo Agent. Les cr�dits sont renouvel�s automatiquement chaque mois, afin que les �quipes disposent toujours de ce dont elle a besoin pour d�velopper plus rapidement et plus efficacement.

Points forts :

Tarification � l'utilisation : achat d'un forfait mensuel de cr�dits sans abonnement � un forfait de base.
Achat en libre-service : achat de cr�dits via le processus d'achat GitLab.
Mise � niveau transparente : le forfait de cr�dits est transf�r� si l'utilisateur passe ult�rieurement � Premium ou Ultimate.
Suivi de la consommation : l'utilisation des cr�dits peut �tre suivie via le tableau de bord des cr�dits GitLab.

Cette option d'achat n'est actuellement disponible que pour les groupes de premier niveau gratuits sur GitLab.com.

Connexion s�curis�e avec les cl�s d'acc�s

GitLab prend d�sormais en charge les cl�s d'acc�s pour une connexion sans mot de passe et comme m�thode d'authentification � deux facteurs (2FA) r�sistante au phishing. Les cl�s d'acc�s utilisent la cryptographie � cl� publique et l'authentification biom�trique (empreinte digitale, reconnaissance faciale) ou le code PIN d'un appareil pour acc�der � un compte en toute s�curit�.

Les cl�s d'acc�s offrent les avantages suivants :

Commodit� sans mot de passe : connexion � l'aide des donn�es biom�triques ou du code PIN d'un appareil, sans avoir � m�moriser de mot de passe.
Prise en charge multi-appareils : utilisation des cl�s d'acc�s sur les navigateurs de bureau, les appareils mobiles (iOS 16 ou version ult�rieure, Android 9 ou version ult�rieure) et les cl�s de s�curit� mat�rielles compatibles FIDO2/WebAuthn.
S�curit� anti-hame�onnage : la cl� priv�e ne quitte jamais l'appareil de l'utilisateur. GitLab ne stocke que la cl� publique, ce qui prot�ge le compte m�me si les serveurs GitLab venaient � �tre compromis.
Int�gration automatique de l'authentification � deux facteurs (2FA) : pour les comptes sur lesquels la 2FA est activ�e, les cl�s d'acc�s deviennent la m�thode de 2FA par d�faut.

Liste des �l�ments de travail et des vues enregistr�es

L'exp�rience de planification sur GitLab fait l'objet d'une mise � jour majeure avec l'arriv�e de la liste des �l�ments de travail et des vues enregistr�es, qui r�unissent deux fonctionnalit�s attendues depuis longtemps :

La liste des �l�ments de travail regroupe les epics, les tickets et les autres �l�ments de travail en une seule liste unifi�e, ce qui �vite d'avoir � passer d'une page � l'autre pour consulter les diff�rents types d'�l�ments. Cela facilite la compr�hension des relations entre les diff�rents objets de planification.
Les vues enregistr�es permettent de cr�er et d'enregistrer des configurations de liste personnalis�es, notamment des filtres, des crit�res de tri et des options d'affichage. Cela rend les v�rifications de routine plus efficaces et favorise l'uniformisation des m�thodes d'affichage du travail au sein de l'�quipe.

Il s'agit de la prochaine �tape dans l'�volution des �l�ments de travail GitLab, une architecture unifi�e con�ue pour garantir la coh�rence et offrir de nouvelles fonctionnalit�s dans l'ensemble des outils de planification GitLab.

Les agents personnalis�s peuvent utiliser le MCP pour acc�der � des donn�es externes

Les utilisateurs peuvent d�sormais connecter des agents personnalis�s du catalogue IA � des sources de donn�es et des outils externes via le Model Context Protocol (MCP), sans quitter GitLab. Cette fonctionnalit� est exp�rimentale.

Appliquer les conventions de nommage des titres des demandes de fusion � l'aide d'expressions r�guli�res

Selon l'�quipe de GitLab, il est important de veiller � la coh�rence des titres des demandes de fusion pour les �quipes qui s'appuient sur des conventions de nommage structur�es. Qu'il s'agisse de respecter le format Conventional Commits ou d'�tablir un lien vers un syst�me de suivi interne. Auparavant, les �quipes avaient besoin d'outils externes ou de t�ches personnalis�es dans le pipeline CI/CD pour appliquer ces conventions, mais cette approche pr�sentait une lacune majeure. Si quelqu'un modifiait le titre de la demande de fusion apr�s l'ex�cution du pipeline, aucune revalidation n'�tait effectu�e et la demande pouvait tout de m�me �tre fusionn�e avec un titre non conforme.

Les utilisateurs peuvent d�sormais configurer une expression r�guli�re obligatoire pour le titre des demandes de fusion dans les param�tres de leur projet. Une fois cette configuration effectu�e, GitLab v�rifie si le titre de la demande de fusion correspond au mod�le d�fini afin de s'assurer qu'elle peut �tre fusionn�e ; la fusion est bloqu�e jusqu'� ce que le titre soit mis � jour pour se conformer � cette r�gle, quelle que soit la date de la derni�re modification du titre.

Pour configurer cette fonctionnalit�, acc�dez aux Param�tres > Demandes de fusion du projet et saisissez un mod�le d'expression r�guli�re dans le champ Le titre de la demande de fusion doit correspondre � l'expression r�guli�re.

Les workflows de demande de fusion existants continuent de fonctionner comme auparavant. Cette v�rification s'applique uniquement aux projets pour lesquels une expression r�guli�re de titre a �t� explicitement configur�e.

D�tection des faux positifs li�s aux secrets gr�ce � l'IA (version b�ta)

Les �quipes de s�curit� consacrent beaucoup de temps � examiner les r�sultats de d�tection de secrets qui s'av�rent �tre des faux positifs. Il s'agit par exemple d'identifiants de test, de valeurs d'exemple et de jetons de remplacement qui sont signal�s � tort comme �tant de v�ritables secrets. Les faux positifs entra�nent une lassitude face aux alertes, sapent la confiance dans les r�sultats des analyses et d�tournent l'attention des v�ritables risques de s�curit�.

GitLab 18.10 introduit une fonctionnalit� de d�tection des faux positifs pour les secrets, bas�e sur l'IA (en version b�ta). Lorsqu'un scan de s�curit� est lanc�, GitLab Duo analyse automatiquement chaque vuln�rabilit� de d�tection de secret de gravit� � Critique � ou � �lev�e � afin de d�terminer s'il s'agit d'un faux positif.

L'�valuation par l'IA appara�t directement dans le rapport de vuln�rabilit�, offrant ainsi aux ing�nieurs en s�curit� un contexte imm�diat qui leur permet de prendre des d�cisions de triage plus rapides et en toute confiance.

Les principales fonctionnalit�s sont les suivantes :

Analyse automatique : la d�tection des faux positifs s'ex�cute automatiquement apr�s chaque analyse de s�curit�, sans intervention manuelle.
Option de d�clenchement manuel : l'utilisateur peut d�clencher manuellement la d�tection des faux positifs pour des vuln�rabilit�s sp�cifiques depuis la page de d�tails de la vuln�rabilit�, afin d'effectuer une analyse � la demande.
Priorit� aux r�sultats � fort impact : le syst�me se concentre sur les vuln�rabilit�s de gravit� � critique � et � �lev�e � afin d'optimiser le rapport signal/bruit.
Raisonnement contextuel bas� sur l'IA : chaque �valuation comprend une explication indiquant pourquoi le r�sultat peut �tre ou non un vrai positif, en fonction du contexte du code et des caract�ristiques de la vuln�rabilit�.
Note de confiance : chaque d�tection est accompagn�e d'une note de confiance afin d'aider les �quipes � hi�rarchiser les v�rifications en fonction du degr� de certitude du mod�le.
Int�gration transparente dans le flux de travail : les r�sultats s'affichent directement dans le rapport de vuln�rabilit�, aux c�t�s des informations existantes sur la gravit�, le statut et la correction.

Cette fonctionnalit� est disponible en version b�ta gratuite pour les clients Ultimate et doit �tre activ�e dans les param�tres du groupe ou du projet.

Utiliser les param�tres d'ex�cution avec les t�ches CI/CD

L'utilisation des variables CI/CD pour la configuration dynamique des t�ches peut s'av�rer complexe. Les variables ob�issent � une hi�rarchie de remplacement complexe, difficile � g�rer, et ne peuvent pas �tre utilis�es dans tous les cas de figure.

Les utilisateurs peuvent d�sormais utiliser les entr�es pour d�finir des entr�es explicites et typ�es au niveau de la t�che. Les entr�es de t�che permettent de d�finir et de contr�ler les valeurs accept�es par une t�che lors de son ex�cution. Gr�ce aux entr�es de t�che, les utilisateurs b�n�ficient :

Une s�curit� de type (cha�ne, nombre, bool�en, tableau) ;
De valeurs par d�faut qui peuvent �tre statiques ou faire r�f�rence � des variables existantes.
Une option permettant de d�finir une liste stricte de valeurs possibles � utiliser.
La prise en charge des expressions r�guli�res pour la validation des valeurs saisies.

Les donn�es d'entr�e des t�ches peuvent utiliser les valeurs par d�faut sans aucune intervention de l'utilisateur, mais il est possible de modifier ces valeurs lors de la relance d'une t�che ou de l'ex�cution manuelle d'une t�che.

Source : GitLab 18.10

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous des nouveaut�s propos�es par cette version ? Les trouvez-vous utiles et int�ressantes ?

Voir aussi :

:fleche: La forge logicielle GitLab 18.9 est disponible et introduit la disponibilit� g�n�rale de Duo Agent Platform pour les clients cloud, la r�solution des vuln�rabilit�s SAST et bien plus encore

:fleche: La version 18.8 de la forge logicielle GitLab est sortie et rend la plateforme d'orchestration d'agents IA Duo Agent, ainsi que les agents Duo Planner et Duo Security Analyst, disponibles pour tous

:fleche: La forge logicielle GitLab 18.7 propose de nouvelles automatisations, des contr�les de pipeline et des mises � jour de politiques pour aider les �quipes � r�duire le travail manuel et simplifier les processus

Images attach�es

La forge logicielle GitLab 18.9 est disponible et introduit la disponibilit� g�n�rale de Duo Agent Platform

Anthony — Fri, 20 Feb 2026 16:45:15 GMT

La forge logicielle GitLab 18.9 introduit la disponibilit� g�n�rale de Duo Agent Platform pour les clients cloud, la r�solution des vuln�rabilit�s SAST et bien plus encore

GitLab 18.9 est d�sormais disponible et apporte toute une s�rie de mises � jour de fonctionnalit�s pour les �quipes de d�veloppement logiciel et DevOps. Cette version introduit notamment la disponibilit� g�n�rale des mod�les auto-h�berg�s GitLab Duo Agent Platform pour les licences cloud, la r�solution des vuln�rabilit�s SAST (tests statiques de s�curit� des applications) avec GitLab Duo Agent Platform, la navigation dans les r�f�rentiels avec une arborescence de fichiers repliable, l'inclusion d'entr�es CI/CD � partir d'un fichier, et bien plus encore.

GitLab est un logiciel libre de forge bas� sur git proposant les fonctionnalit�s de wiki, un syst�me de suivi des bugs, l�int�gration continue et la livraison continue (CI/CD). D�velopp� par GitLab Inc et cr�� par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilis� par plusieurs grandes entreprises informatiques,dont IBM, Sony, la NASA, Alibaba, Oracle, O�Reilly Media, le CERN, et plus encore. GitLab peut �tre int�gr� � des produits destin�s aux d�veloppeurs, tels que AWS ou Google Cloud, et peut �tre contr�l� � distance via une API. Il est disponible en �dition communautaire et en �dition commerciale.

GitLab 18.9 apporte la disponibilit� g�n�rale de GitLab Duo Agent Platform. Celle-ci permet aux clients autog�r�s disposant d'une licence cloud d'utiliser cette fonctionnalit� avec une facturation bas�e sur l'utilisation. Les administrateurs b�n�ficient d'une plus grande flexibilit� pour configurer des mod�les d'IA compatibles, tels que Anthropic Claude ou OpenAI GPT, gr�ce � l'int�gration avec AWS Bedrock ou Azure OpenAI.

S'appuyant sur l'automatisation, la fonctionnalit� Agentic SAST Vulnerability Resolution permet � GitLab Duo d'analyser de mani�re autonome les r�sultats des tests de s�curit� statiques des applications (SAST), de d�terminer des solutions en fonction du contexte du code, d'appliquer des correctifs et d'ouvrir des demandes de fusion sans intervention manuelle. Ce workflow est actuellement propos� en version b�ta gratuite pour les clients Ultimate.

En mettant l'accent sur la productivit� des d�veloppeurs, les utilisateurs peuvent d�sormais parcourir les fichiers du r�f�rentiel � l'aide d'une arborescence de fichiers repliable. Cette interface offre une vue d'ensemble de la structure du projet, prend en charge l'expansion et le repliement des r�pertoires en ligne et facilite la navigation dans les fichiers tout en conservant le contexte. Les �quipes travaillant sur des pipelines complexes b�n�ficient de la possibilit� d'inclure des d�finitions d'entr�e provenant de fichiers externes via le mot-cl� � include � familier, ce qui permet de r�utiliser les configurations dans plusieurs projets.

Parmi les autres am�liorations, on peut citer la signature de commit en ligne pour GitLab.com, la version b�ta du registre virtuel de conteneurs, ainsi que d'autres mises � jour de la plateforme.

Les mod�les auto-h�berg�s de GitLab Duo Agent Platform sont disponibles pour les licences cloud

GitLab Duo Agent Platform est d�sormais disponible pour tous les clients GitLab Self-Managed disposant d'une licence cloud. La facturation de cette fonctionnalit� est bas�e sur l'utilisation.

Les administrateurs peuvent configurer des mod�les compatibles pour une utilisation avec GitLab Duo Agent Platform. Les administrateurs utilisant AWS Bedrock ou Azure OpenAI peuvent �galement configurer les mod�les Anthropic Claude ou OpenAI GPT.

R�solution des vuln�rabilit�s avec GitLab Duo Agent Platform (version b�ta)

Le triage et la correction des vuln�rabilit�s SAST constituent l'une des t�ches les plus chronophages en mati�re de s�curit� des applications. Apr�s avoir identifi� une vuln�rabilit� r�elle, les d�veloppeurs doivent comprendre le r�sultat, localiser le code affect� et r�diger un correctif appropri�. Tout cela demande du temps et des connaissances sp�cialis�es. GitLab 18.9 introduit Agentic SAST Vulnerability Resolution. Lorsqu'un utilisateur d�clenche la r�solution d'une vuln�rabilit� SAST, GitLab Duo analyse de mani�re autonome la d�couverte, raisonne � partir du contexte du code environnant, g�n�re un correctif adapt� au contexte et cr�e une demande de fusion sans aucune intervention manuelle.

Les principales fonctionnalit�s sont les suivantes :

R�solution agentique en plusieurs �tapes : plut�t que de proposer une seule suggestion de code, GitLab Duo Agent Platform analyse la vuln�rabilit�, �value la base de code et propose une correction �clair�e.
Cr�ation automatique de demandes de fusion : g�n�re une demande de fusion pr�te � �tre examin�e avec la correction de code propos�e pour les vuln�rabilit�s SAST critiques et de gravit� �lev�e.
�valuation de la qualit� : chaque correction g�n�r�e comprend une �valuation de la qualit� afin que les examinateurs puissent rapidement �valuer la fiabilit� de la correction propos�e.

La r�solution des vuln�rabilit�s SAST est disponible � partir du rapport de vuln�rabilit� et des pages d�taill�es sur chaque vuln�rabilit�. Les utilisateurs peuvent d�clencher une r�solution directement � partir de la page d�taill�e sur chaque vuln�rabilit�.

Cette fonctionnalit� est disponible en version b�ta gratuite pour les clients Ultimate.

Naviguer dans les r�f�rentiels � l'aide d'une arborescence de fichiers repliable

Les utilisateurs peuvent d�sormais parcourir les fichiers du r�f�rentiel � l'aide d'une arborescence de fichiers repliable. L'arborescence offre une vue d'ensemble de la structure du projet, ce qui permet � l'utilisateur de d�velopper et de r�duire les r�pertoires en ligne, de passer d'un fichier � l'autre dans diff�rentes parties du r�f�rentiel et de conserver le contexte pendant le travail.

L'arborescence des fichiers s'affiche sous forme de barre lat�rale redimensionnable lorsque l'utilisateur affiche les fichiers ou r�pertoires du r�f�rentiel. Il est possible d'activer ou de d�sactiver son affichage � l'aide de raccourcis clavier, filtrer les fichiers par nom ou extension, et naviguer dans des hi�rarchies de projets complexes. L'arborescence se synchronise avec l'emplacement actuel. Ainsi, lorsque l'utilisateur s�lectionne un fichier dans la zone de contenu principale, l'arborescence s'actualise pour afficher ce fichier.

La structure du r�f�rentiel et l'organisation des fichiers restent inchang�es. Gr�ce � la r�duction du nombre de chargements de pages n�cessaires pour passer d'un fichier � l'autre, cette fonctionnalit� s'adapte aussi bien aux petits projets qu'aux bases de code volumineuses contenant des milliers de fichiers.

Inclure les entr�es CI/CD � partir d'un fichier

Auparavant, les entr�es de pipeline ne pouvaient �tre d�finies que directement dans la section des sp�cifications d'un pipeline. Cette limitation rendait difficile la r�utilisation de la configuration des entr�es dans plusieurs projets.

Dans cette version 18.9, les utilisateurs peuvent d�sormais inclure des d�finitions d'entr�e provenant de fichiers externes � l'aide du mot-cl� � include � familier. La possibilit� de conserver une liste d'entr�es dans un emplacement s�par� aide les utilisateurs � disposer d'une solution facile � g�rer pour de nombreux projets ou pipelines. Les utilisateurs peuvent conserver des configurations d'entr�e centralis�es et m�me g�rer de mani�re dynamique les valeurs d'entr�e provenant de sources externes.

Signature de commit via le Web sur GitLab.com

Il est essentiel de s'assurer que les commits sont sign�s cryptographiquement pour garantir l'int�grit� du code et respecter les exigences de conformit�. Auparavant, la signature des commits via le Web n'�tait disponible que pour GitLab Self-Managed.

GitLab.com prend d�sormais en charge la signature de commits via le Web. Lorsque cette fonctionnalit� est activ�e pour un groupe ou un projet, les commits cr��s via l'interface Web GitLab sont automatiquement sign�s avec la cl� de signature GitLab et affich�s avec un badge � V�rifi� �, fournissant ainsi une preuve cryptographique de l'authenticit� des d�p�ts.

D�tails principaux :

La fonctionnalit� peut �tre activ�e dans les param�tres du groupe ou du projet en fonction des besoins de l'utilisateur.
Toutes les validations bas�es sur le Web (modifications dans l'EDI Web, fusions, op�rations API) sont automatiquement sign�es lorsque cette fonctionnalit� est activ�e.

Cela permet d'aligner les capacit�s de s�curit� de GitLab.com sur celles de GitLab Self-Managed et fournit la base n�cessaire � la mise en place de politiques compl�tes de signature des commits dans toute l'organisation.

Registre virtuel de conteneurs d�sormais disponible (version b�ta)

Le d�veloppement moderne bas� sur des conteneurs n�cessite d'acc�der � des images provenant de plusieurs registres, notamment Docker Hub, Harbor, Quay et des registres priv�s. Sans registre virtuel de conteneurs, les ing�nieurs de plateforme doivent configurer chaque projet et pipeline CI/CD pour s'authentifier et extraire individuellement les donn�es de plusieurs registres. Cela complique la configuration, ralentit les extractions avec des requ�tes de registre s�quentielles et rend difficile la mise en �uvre de politiques de s�curit� coh�rentes entre les diff�rentes sources de conteneurs.

Le registre virtuel de conteneurs r�pond � ces d�fis en regroupant plusieurs registres de conteneurs en amont derri�re un seul point de terminaison. Les ing�nieurs de plateforme peuvent configurer Docker Hub, Harbor, Quay et d'autres registres avec une authentification par jeton longue dur�e via une seule URL. La mise en cache intelligente am�liore les performances de pull tout en s'int�grant aux syst�mes d'authentification GitLab pour un contr�le d'acc�s centralis� et la journalisation des audits.

L'API du registre virtuel de conteneurs est actuellement disponible en version b�ta pour les clients GitLab Premium et Ultimate. Les participants � la b�ta peuvent utiliser l'API GitLab pour cr�er des registres virtuels de conteneurs, configurer plusieurs sources en amont avec des configurations partageables et extraire des images de conteneurs via le registre virtuel. Il est � noter que la version b�ta ne prend pas en charge les registres qui n�cessitent une authentification IAM. Sur GitLab.com, cette fonctionnalit� est accessible derri�re un flag de fonctionnalit�.

Source : GitLab

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous des nouveaut�s propos�es par cette version de GitLab ? Les trouvez-vous utiles et int�ressantes ?

Voir aussi :

:fleche: La version 18.8 de la forge logicielle GitLab est sortie et rend la plateforme d'orchestration d'agents IA Duo Agent, ainsi que les agents Duo Planner et Duo Security Analyst, disponibles pour tous

:fleche: La forge logicielle GitLab 18.7 propose de nouvelles automatisations, des contr�les de pipeline et des mises � jour de politiques pour aider les �quipes � r�duire le travail manuel et simplifier les processus

:fleche: GitLab 18.6, la plateforme d'h�bergement de code et de DevOps, est disponible avec une interface utilisateur repens�e, une recherche de code pr�cise, de nouvelles fonctionnalit�s CI/CD et bien plus encore

Images attach�es

peon-ping : des notifications vocales Peon Warcraft pour Claude Code

Jade Emy — Thu, 12 Feb 2026 14:34:40 GMT

Notifications vocales Peon Warcraft III pour Claude Code, qui vous avertissent lorsque le programme a termin� ou a besoin d'une autorisation, afin que vous ne perdiez pas votre concentration

Claude Code ne vous avertit pas lorsqu'il a termin� ou qu'il a besoin d'une autorisation. Vous quittez l'onglet, vous perdez votre concentration et vous perdez 15 minutes � vous remettre dans le bain. peon-ping r�sout ce probl�me gr�ce aux r�pliques vocales de Peon de Warcraft III. Ainsi, vous ne manquez jamais rien et votre terminal ressemble � Orgrimmar.

Claude Code est une interface en ligne de commande qui s'ex�cute sur l'ordinateur de l'utilisateur. Elle se connecte � une instance Claude h�berg�e sur les serveurs d'Anthropic via une API et permet � l'instance Claude d'ex�cuter des commandes, de lire des fichiers, d'�crire des fichiers et d'�changer des messages avec l'utilisateur. Claude peut ex�cuter des commandes en avant-plan ou en arri�re-plan. Le comportement de Claude Code est g�n�ralement configur� via des documents Markdown sur l'ordinateur de l'utilisateur, tels que CLAUDE.md, AGENTS.md, SKILL.md, etc.

Claude Code a �t� lanc� en f�vrier 2025 en tant qu'outil de ligne de commande agentique permettant aux d�veloppeurs de d�l�guer des t�ches de codage directement depuis leur terminal. Initialement lanc� pour des tests en avant-premi�re, il a �t� mis � la disposition du grand public en mai 2025, en m�me temps que Claude 4. L'adoption de Claude Code par les entreprises a connu une croissance significative, Anthropic ayant annonc� une augmentation de 5,5 fois des revenus de Claude Code en juillet. Anthropic a lanc� une version web en octobre, ainsi qu'une application iOS. En janvier 2026, il �tait consid�r� comme le meilleur assistant de codage IA, lorsqu'il �tait associ� � Opus 4.5, GPT-5.2 affichant �galement une am�lioration significative.

Claude Code ne vous avertit pas lorsqu'il a termin� ou qu'il a besoin d'une autorisation. Vous quittez l'onglet, vous perdez votre concentration et vous perdez 15 minutes � vous remettre dans le bain. peon-ping r�sout ce probl�me gr�ce aux r�pliques vocales de Peon de Warcraft III. Ainsi, vous ne manquez jamais rien et votre terminal ressemble � Orgrimmar.

Installation

Code:

curl -fsSL https://raw.githubusercontent.com/tonyyont/peon-ping/main/install.sh | bash

Une seule commande. Cela prend 10 secondes. macOS et WSL2 (Windows). Relancez pour mettre � jour (les sons et la configuration sont conserv�s).

Ce que vous entendrez

Plus les titres des onglets du terminal (● projet : termin�) et les notifications sur le bureau lorsque votre terminal n'est pas au premier plan.

Commandes rapides

Vous avez besoin de d�sactiver les sons et les notifications pendant une r�union ou une session de travail en bin�me ? Deux options s'offrent � vous :

Autres commandes CLI :

Code:

1
2
3
4
5
6
peon --pause          # Mute sounds
peon --resume         # Unmute sounds
peon --status         # Check if paused or active
peon --packs          # List available sound packs
peon --pack     # Switch to a specific pack
peon --pack           # Cycle to the next pack

La saisie semi-automatique est prise en charge : tapez peon --pack pour afficher les noms de packs disponibles.

La mise en pause d�sactive instantan�ment les sons et les notifications sur le bureau. Elle persiste d'une session � l'autre jusqu'� ce que vous repreniez. Les titres des onglets restent actifs pendant la mise en pause.

Configuration

Modifiez ~/.claude/hooks/peon-ping/config.json :

Code:

1
2
3
4
5
6
7
8
9
10
11
{
  "volume": 0.5,
  "categories": {
    "greeting": true,
    "acknowledge": true,
    "complete": true,
    "error": true,
    "permission": true,
    "annoyed": true
  }
}

- volume : 0,0-1,0 (assez silencieux pour le bureau)
- cat�gories : activez/d�sactivez les types de sons individuels
- annoyed_threshold / annoyed_window_seconds : Combien d'invites en N secondes d�clenchent l'�uf de P�ques
- pack_rotation : tableau de noms de packs (par exemple, [� peon �, �sc_kerrigan�, � peasant �]). Chaque session Claude Code obtient al�atoirement un pack de la liste et le conserve pendant toute la session. Laissez vide [] pour utiliser active_pack � la place.

D�sinstallation

Code:

bash ~/.claude/hooks/peon-ping/uninstall.sh

Configuration requise

- macOS (utilise afplay et AppleScript) ou WSL2 (utilise PowerShell MediaPlayer et WinForms)

- Claude Code avec prise en charge des hooks
- python3

Fonctionnement

peon.sh est un hook Claude Code enregistr� pour les �v�nements SessionStart, UserPromptSubmit, Stop et Notification. � chaque �v�nement, il mappe une cat�gorie sonore, choisit une ligne vocale al�atoire (en �vitant les r�p�titions), la lit via afplay (macOS) ou PowerShell MediaPlayer (WSL2) et met � jour le titre de votre onglet Terminal.

Les fichiers audio sont la propri�t� de leurs �diteurs respectifs (Blizzard Entertainment, EA) et sont inclus dans le d�p�t pour plus de commodit�.

Source : Peon-Ping

Et vous ?

:fleche: Pensez-vous que cet outil est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Emp�chez Claude Code d'oublier tout gr�ce � une petite base de donn�es m�morielle qui se souvient de vos sessions

:fleche: Transformez votre flux de travail de codage IA gr�ce � Claudia, l'interface graphique de bureau pour Claude Code qui facilite la gestion des sessions Claude et la cr�ation d'agents personnalis�s

:fleche: Syst�me de gestion de projet pour Claude Code, un workflow l�ger permettant d'organiser le d�veloppement bas� sur l'IA et de r�duire de moiti� environ le temps de livraison

Images attach�es

Nous pleurons notre m�tier, le pire avec ces outils d'IA, c'est qu'ils fonctionnent

Nolan Lawson — Tue, 10 Feb 2026 09:42:56 GMT

Nous pleurons notre m�tier : Le pire avec ces outils d'IA, c'est qu'ils fonctionnent, ils peuvent �crire du code mieux que vous ou moi, par Nolan Lawson

Je n'ai pas demand� cela, et vous non plus.

Je n'ai pas demand� qu'un robot consomme tous les articles de blog et tous les morceaux de code que j'ai �crits et les r�p�te comme un perroquet afin qu'un pirate puisse en tirer profit.

Je n'ai pas demand� que le r�le d'un programmeur soit r�duit � celui d'un agent de la TSA glorifi�, charg� de v�rifier le code pour s'assurer que l'IA n'introduise pas quelque chose de dangereux dans la production.

Et pourtant, nous en sommes l�. Le pire, c'est que ces outils fonctionnent. Ils peuvent �crire du code mieux que vous ou moi, et si vous ne me croyez pas, attendez six mois.

Vous pourriez vous abstenir par principe moral. Et c'est tr�s bien, surtout si vous �tes en fin de carri�re. Et si vous �tes en d�but de carri�re, vous n'avez pas besoin que je vous explique tout cela, car vous utilisez d�j� Warp, Cursor et Claude, avec ChatGPT comme th�rapeute, pair programmeur et peut-�tre m�me comme amant. Cet article s'adresse aux quadrag�naires parmi mon public qui ne se rendent pas encore compte de cette r�alit�.

En tant que senior, vous pourriez vous abstenir. Mais vos coll�gues plus jeunes finiront par vous d�passer en mati�re de codage, car ils sont �quip�s de jetpacks propuls�s par des bazookas tandis que vous roulez toujours sur un v�lo � pignon fixe. Finalement, votre patron commencera � vous demander pourquoi vous �tes pay� deux fois plus que vos coll�gues plus jeunes pour produire un dixi�me du code.

En fin de compte, si vous avez un cr�dit immobilier, un cr�dit automobile et une famille que vous aimez, vous prendrez votre d�cision. Ce n'est peut-�tre pas la d�cision que votre vous plus jeune et plus id�aliste voudrait que vous preniez, mais elle vous permettra de conserver votre voiture, votre maison et votre famille en s�curit�.

Dans quelques ann�es, nous repenserons � l'�poque o� nous �tions la derni�re g�n�ration � coder � la main. Nous rirons et expliquerons � nos petits-enfants � quel point il �tait ridicule de taper la syntaxe JavaScript avec nos doigts. Mais secr�tement, cela nous manquera.

Nous regretterons cette sensation de tenir le code entre nos mains et de le modeler comme de l'argile sous les doigts d'un ma�tre sculpteur. Nous regretterons les nuits blanches pass�es � nous battre avec un bug bizarre qui finit par c�der au d�bogueur � 2 heures du matin. Nous regretterons de ne plus cr�er quelque chose dont nous sommes fiers, quelque chose de vrai, de juste et de bon. Nous regretterons la satisfaction de la signature de l'artiste au bas d'une peinture � l'huile, le d�p�t GitHub qui dit � J'ai fait �a �.

Je ne c�l�bre pas le nouveau monde, mais je ne m'y oppose pas non plus. Le soleil se l�ve, le soleil se couche, je tourne impuissant autour de lui, et mes protestations ne peuvent l'arr�ter. Il s'en moque ; il continue sa course dans le ciel, immobile mais in�branlable.

Si vous souhaitez pleurer, je vous invite � pleurer avec moi. Nous sommes les derniers de notre esp�ce, et ceux qui nous succ�deront ne comprendront pas notre chagrin. Notre art, tel que nous l'avons pratiqu�, finira comme un outil de forgeron dans une fouille arch�ologique, une curiosit� pour les g�n�rations futures. On ne peut rien y faire, c'est la nature de toutes choses de retourner � la poussi�re, et pourtant nous pouvons encore pleurer. Le moment est venu de pleurer la disparition de notre art.

Source : We mourn our craft

Et vous ?

:fleche: Pensez-vous que cette d�claration est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Une exp�rience de vibe coding : le bon, le mauvais et le laid, par Nolan Lawson

:fleche: L'IA n'est m�me pas capable de corriger un simple bug, mais bien s�r, virons les ing�nieurs, par Namanyay Goel

:fleche: Si vous �tes dou� pour la r�vision de code, vous serez dou� pour utiliser les agents IA, par Sean Goedecke

:fleche: �tre d�veloppeur � l'�re de l'IA qui raisonne, par Mani Doraisamy

Vouch : un syst�me de gestion de la confiance communautaire visant � garantir la qualit� du code

Mathis Lucas — Mon, 09 Feb 2026 17:27:10 GMT

Vouch : un syst�me visant � maintenir la qualit� de l'open source face � l'afflux de pulls requests de mauvaise qualit� g�n�r�es par l'IA
il permet de g�rer la confiance dans les contributeurs � un projet

Les projets open source sont submerg�s par des rapports de bogues et des pulls requests de mauvaise qualit� r�dig�s par l'IA. Pour faire face � ce probl�me, le d�veloppeur Mitchell Hashimoto a mis au point un outil appel� Vouch. Il s'agit d'un syst�me de gestion de la confiance communautaire. Il fonctionne en exigeant que les nouveaux contributeurs soient cautionn�s par des contributeurs existants avant de pouvoir contribuer, et permet de d�noncer et de bloquer les contributeurs probl�matiques. L'int�gration est simple via GitHub Actions, et le syst�me est ind�pendant de la forge, laissant les crit�res de cautionnement � la discr�tion de chaque projet.

Ces derni�res ann�es, le nombre de personnes utilisant les outils d'IA pour g�n�rer du code au lieu de l'�crire eux-m�mes a augment�. Cependant, une grande partie du code g�n�r� par l'IA est de mauvaise qualit�. En cons�quence, le co�t croissant de l'�limination du code de mauvaise qualit� g�n�r� par l'IA est devenu un probl�me �pineux pour les projets open source disposant d�j� de peu de ressources et reposant sur la coop�ration communautaire.

Pour rem�dier � ce probl�me, le d�veloppeur de logiciels Mitchell Hashimoto a lanc� un syst�me appel� � Vouch � qui �limine les personnes soumettant du code de mauvaise qualit� et maintient la qualit� des projets open source. Il se dit lasser de jouer au chat et � la souris avec les rapports de mauvaise qualit�.

Mitchell Hashimoto est un d�veloppeur et entrepreneur am�ricain, connu pour �tre le cofondateur de HashiCorp, une entreprise sp�cialis�e dans les outils d�infrastructure et de cloud computing. Il est l�auteur principal de projets open source tr�s utilis�s comme Vagrant, Terraform, Consul et Vault. Son travail se concentre notamment sur l�automatisation de l�infrastructure, la gestion des environnements de d�veloppement et la s�curit� des syst�mes distribu�s.

Vouch : un syst�me de gestion de la confiance communautaire

Vouch introduit un mod�le de confiance explicite. Un contributeur ne peut soumettre une pull request que s�il a �t� pr�alablement approuv� par un contributeur d�j� reconnu comme fiable. � La l�gitimit� n�est plus implicite, mais formalis�e, ce qui inverse la logique par d�faut de l�ouverture totale �. Vouch repose sur des actions GitHub. Une action v�rifie automatiquement si l�auteur d�une pull request figure dans la liste des contributeurs approuv�s.

D�autres actions GitHub permettent d�ajouter ou de retirer des contributeurs, en s�appuyant sur des d�cisions humaines document�es dans le d�p�t. Les informations de confiance sont stock�es dans un fichier texte unique, versionn� avec le projet. Ce choix favorise la transparence, l�auditabilit� et l�automatisation.

Citation:

Envoy� par Mitchell Hashimoto

L'open source a toujours fonctionn� selon un syst�me de confiance et de v�rification. Historiquement, l'effort n�cessaire pour comprendre un code source, mettre en �uvre des modifications et soumettre ces modifications pour examen �tait suffisamment important pour filtrer naturellement les contributions de mauvaise qualit� provenant de personnes non qualifi�es. Pendant plus de 20 ans, cette barri�re � l'entr�e a �t� suffisante pour la plupart des projets, le mien et d'autres.

Cependant, le d�veloppement r�cent de l'IA de g�n�ration de code a radicalement chang� la situation, permettant aux personnes de publier facilement � du code de tr�s mauvaise qualit� qui semble plausible, mais qui ne refl�te qu'une compr�hension superficielle du projet.

Vouch permet �galement de r�utiliser ces listes entre projets, ouvrant la voie � des r�seaux de confiance partag�s entre d�p�ts ayant des exigences similaires. La mise en �uvre est g�n�rique et peut �tre utilis�e par n'importe quel projet sur n'importe quelle forge de code, mais Mitchell Hashimoto fournit une int�gration GitHub pr�te � l'emploi via les actions GitHub et l'interface CLI. Vouch propose trois actions GitHub qui se pr�sentent comme suit :

Check-pr

La premi�re s�appelle � check-pr �. Elle s�ex�cute � chaque ouverture de pull request et v�rifie automatiquement si l�auteur de la demande figure dans la liste des contributeurs approuv�s (ou cautionn�s). Si ce n�est pas le cas, la pull request est bloqu�e ou signal�e comme non conforme.

Manage-by-discussion

La deuxi�me action est � manage-by-discussion �. Elle permet d�ajouter ou de retirer un contributeur de la liste de confiance � partir d�une discussion GitHub. Les d�cisions sont prises explicitement par les mainteneurs ou contributeurs autoris�s et sont ensuite appliqu�es par l�action.

Manage-by-issue

La troisi�me action est � manage-by-issue �. Elle fonctionne sur le m�me principe que la pr�c�dente, mais en s�appuyant sur des tickets de suivi GitHub plut�t que sur des discussions. Cela permet d�int�grer la gestion des droits de contribution dans les workflows existants bas�s sur les tickets de suivi.

Comment mettre en �uvre Vouch dans un r�f�rentiel sur GitHub

Les administrateurs du d�p�t GitHub peuvent mettre en �uvre ces fonctionnalit�s via GitHub Actions pour v�rifier s'il convient ou non de contribuer � des projets open source. L'auteur a d�clar� qu'il ne participerait pas aux d�cisions des projets utilisant Vouch : � c'est au projet de d�cider qui est approuv� ou d�nonc�, et comment. Je ne suis pas le gardien des valeurs mondiales. C'est � vous de d�cider ce qui convient � votre projet et � votre communaut� �.

Selon la description de Mitchell Hashimoto, toutes les donn�es relatives � Vouch sont stock�es dans un seul fichier texte au sein du r�f�rentiel, ce qui facilite leur analyse. Vouch permet aux projets de partager des � listes de garantie �. Mitchell Hashimoto affirme que les projets partageant des valeurs communes peuvent partager des listes et construire un � r�seau de confiance � complet qui d�termine quels utilisateurs autoriser et lesquels bloquer.

Mitchell Hashimoto a d�j� mis en �uvre Vouch � titre exp�rimental dans le r�f�rentiel GitHub de son �mulateur de terminal, Ghostty, un �mulateur de terminal open source con�u pour �tre rapide, moderne et natif sur chaque plateforme. Les listes de garanties peuvent �galement former un r�seau de confiance.

Vous pouvez configurer Vouch pour lire les listes d'utilisateurs garantis ou d�nonc�s d'autres projets. Ainsi, les projets partageant les m�mes valeurs peuvent partager leurs d�cisions en mati�re de confiance et cr�er un r�seau de confiance plus vaste et plus complet � travers l'�cosyst�me. Les utilisateurs qui ont d�j� prouv� leur fiabilit� dans un projet peuvent automatiquement �tre consid�r�s comme fiables dans un autre projet, et ainsi de suite.

Des projets contraints d'interdire les rapports g�n�r�s par l'IA

L'adoption des outils d'IA par les plateformes telles que HackerOne pose un probl�me majeur � la communaut� des logiciels libres : la multiplication de rapports de vuln�rabilit�s g�n�r�s par des outils d'IA, souvent erron�s ou trompeurs, qui submergent les mainteneurs. Les fabricants de mod�les d'IA s'attendent � ce que l'IA aide les d�veloppeurs � d�tecter les bogues beaucoup plus rapidement afin de jouir de plus de temps pour innover.

Mais il s'av�re que ces rapports sont en majorit� le r�sultat des hallucinations de l'IA, et donc inutiles. Seth Larson, d�veloppeur de s�curit� en r�sidence � la Python Software Foundation, a soulev� la question dans un billet de blogue en d�cembre 2024. Il a exhort� les personnes qui signalent des bogues � ne pas utiliser de syst�mes d'IA pour la chasse aux bogues. Selon lui, les syst�mes d'IA actuels ne sont pas fiables dans ce contexte.

� J'ai remarqu� une augmentation des rapports de s�curit� de qualit� extr�mement m�diocre, spamm�s et hallucin�s par les LLM dans les projets open source. � premi�re vue, ces rapports de bogue semblent potentiellement l�gitimes et n�cessitent donc du temps pour �tre r�fut�s �, �crivait-il, rappelant les r�sultats similaires obtenus par le projet cURL en janvier 2024. D�but 2025, c'est le cr�ateur du projet cURL qui a exprim� son ras-le-bol.

Dans certains cas, les auteurs des signalements erron�s sont des personnes novices qui testent des IA sur du code. Ou pire, elles utilisent les rapports g�n�r�s par l'IA pour tenter d'obtenir des r�compenses financi�res via des programmes de primes aux bogues sans fournir de v�ritables contributions.

Par exemple, quatre rapports de vuln�rabilit� malavis�s ont �t� publi�s par une personne apparemment � la recherche d'une r�putation ou d'une prime de d�tection de bogues. � L'une des fa�ons de s'en rendre compte, c'est que le rapport est toujours tr�s agr�able. Formul� de mani�re agr�able, en anglais parfait, poli, avec de jolis points... un humain ordinaire ne le ferait jamais de cette mani�re dans son premier rapport �, a d�clar� Daniel Stenberg.

Conclusion

Les rapports de bogue de mauvaise qualit� g�n�r�s par l'IA sont devenus un probl�me pour les mainteneurs de logiciels libres et open source. Ce ph�nom�ne met en �vidence les d�fis pos�s par l'utilisation non encadr�e de l'IA dans la d�tection de vuln�rabilit�s. Selon Daniel Stenberg et d'autres, cela souligne la n�cessit� d'une approche plus rigoureuse et collaborative pour maintenir la qualit� et la s�curit� des projets libres et open source.

L'id�e derri�re le projet Vouch est simple : les utilisateurs non recommand�s ne peuvent pas contribuer � vos projets. Les tr�s mauvais utilisateurs peuvent �tre explicitement � d�nonc�s �, ce qui revient � les bloquer. Les utilisateurs sont recommand�s ou d�nonc�s par les contributeurs via les tickets GitHub ou les commentaires de discussion, ou via l'interface CLI. L'int�gration dans GitHub est aussi simple que d'adopter les actions GitHub publi�es.

C'est tout. De plus, le syst�me lui-m�me est g�n�rique aux forges et n'est pas li� � GitHub. Mitchell Hashimoto esp�re que Vouch permettra de r�duire la charge de mod�ration tout en maintenant les exigences en mati�re de qualit� de code pour les contributeurs. Les projets open source fonctionnent gr�ce � quelques b�n�voles. L�utilisation abusive de l'IA peut nuire � l��cosyst�me, en gaspillant l'�nergie pr�cieuse des personnes qui le maintiennent.

Sources : Vouch, Mitchell Hashimoto

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de l'utilitaire Vouch propos� par Mitchell Hashimoto ?
:fleche: Vouch peut-il permettre de pr�server la qualit� des logiciels libres et open source ?
:fleche: Vouch est-il conforme � l'esprit de l'open source ?

Voir aussi

:fleche: Le code g�n�r� par l'IA contient plus de bogues et d'erreurs que celui produit par l'homme : les demandes d'extraction effectu�es � l'aide d'outils d'IA comportaient en moyenne 10,83 probl�mes contre 6,45

:fleche: Le projet open source cURL interdit les rapports de bogue inutiles g�n�r�s par l'IA : � nous n'avons toujours pas vu un seul rapport de s�curit� valide r�dig� avec l'aide de l'IA �

:fleche: Les assistants de codage IA sont-ils en train de rendre le code plus rapide � �crire... mais plus lent et plus co�teux � maintenir ? Un data scientist note une stagnation, voire une d�gradation de performance

Images attach�es

GitLab 18.8 est disponible avec Duo Agent, Duo Planner et Duo Security Analyst, accessibles � tous

Anthony — Wed, 21 Jan 2026 10:41:51 GMT

La version 18.8 de la forge logicielle GitLab est sortie et rend la plateforme d'orchestration d'agents IA Duo Agent, ainsi que les agents Duo Planner et Duo Security Analyst, disponibles pour tous

GitLab 18.8 est disponible et offre un acc�s g�n�ralis� � la plateforme GitLab Duo Agent, qui permet d'orchestrer des agents d'intelligence artificielle (IA) capables d'intervenir � chaque �tape du d�veloppement logiciel. Cette version inclut �galement la disponibilit� g�n�rale des agents Duo Planner et Duo Security Analyst, destin�s respectivement aux chefs de produit et aux �quipes de s�curit�, ainsi que de nouvelles politiques de gestion des vuln�rabilit�s permettant de rejeter automatiquement les vuln�rabilit�s non pertinentes et de recentrer les efforts sur les risques av�r�s.

GitLab est un logiciel libre de forge bas� sur git proposant les fonctionnalit�s de wiki, un syst�me de suivi des bugs, l�int�gration continue et la livraison continue (CI/CD). D�velopp� par GitLab Inc et cr�� par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilis� par plusieurs grandes entreprises informatiques,dont IBM, Sony, la NASA, Alibaba, Oracle, O�Reilly Media, le CERN, et plus encore. GitLab peut �tre int�gr� � des produits destin�s aux d�veloppeurs, tels que AWS ou Google Cloud, et peut �tre contr�l� � distance via une API. Il est disponible en �dition communautaire et en �dition commerciale.

La version 18.8 de GitLab a �t� lanc�e avec une s�rie de nouvelles fonctionnalit�s et d'am�liorations con�ues pour les �quipes de d�veloppement logiciel. Le point fort de cette version est la disponibilit� g�n�rale de la plateforme GitLab Duo Agent, qui permet l'orchestration de l'IA agentique tout au long du cycle de vie du d�veloppement logiciel. Les �quipes peuvent d�sormais coordonner les agents IA pour la planification, la cr�ation, la s�curisation et la livraison de logiciels directement dans GitLab.

S'appuyant sur ces capacit�s d'IA, l'agent Planner est d�sormais disponible et con�u pour aider les chefs de produit. Cet agent de base permet aux utilisateurs de cr�er, modifier et analyser des �l�ments de travail, rationalisant ainsi la gestion des flux de travail au sein de la plateforme. Parall�lement, les ing�nieurs peuvent d�sormais tirer parti de l'agent Duo Security Analyst, qui est pass� de la version b�ta � la disponibilit� g�n�rale, pour contr�ler les vuln�rabilit�s gr�ce au langage naturel dans GitLab Duo Agentic Chat.

Suite aux mises � jour des agents, GitLab 18.8 offre aux �quipes de s�curit� la possibilit� de d�finir des politiques pour �liminer automatiquement les vuln�rabilit�s qui n'affectent pas leur organisation. Cette approche bas�e sur des politiques vise � r�duire les alertes inutiles et � permettre aux d�veloppeurs de se concentrer sur les risques r�els.

Plateforme GitLab Duo Agent

La plateforme GitLab Duo Agent est d�sormais disponible pour tous et permet d'int�grer l'orchestration de l'IA par agents � l'ensemble du cycle de vie du d�veloppement logiciel. Contrairement aux outils d'IA qui acc�l�rent des t�ches individuelles de mani�re isol�e, la plateforme Agent aide les �quipes � coordonner les agents IA tout au long des phases de planification, de cr�ation, de s�curisation et de livraison des logiciels, comblant ainsi le foss� entre le travail individuel plus rapide et la r�alit� collaborative et multi-�tapes de la livraison logicielle.

La plateforme fournit un catalogue IA centralis� o� les �quipes peuvent d�couvrir, g�rer et partager des agents et des flux au sein de leur organisation. Des agents fondamentaux int�gr�s, tels que Planner, Security Analyst et Data Analyst, g�rent les t�ches structur�es aux moments cl�s de la prise de d�cision, tandis que des flux personnalisables automatisent les agents et les t�ches en plusieurs �tapes dans les workflows de d�veloppement, depuis les tickets jusqu'aux demandes de fusion, en passant par la migration CI/CD, le d�pannage des pipelines et les revues de code.

Gr�ce � des contr�les de gouvernance, � la visibilit� de l'utilisation et � des options de d�ploiement flexibles, y compris des mod�les auto-h�berg�s pour les environnements hors ligne, les organisations peuvent adopter l'IA � grande �chelle avec la transparence et le contr�le dont elles ont besoin.

Les utilisateurs de GitLab Premium et Ultimate peuvent commencer � utiliser la plateforme Agent d�s maintenant sur GitLab.com et les instances GitLab Self-Managed avec des cr�dits GitLab promotionnels.

Agent GitLab Duo Planner

L'agent Planner est d�sormais disponible pour tous. L'agent Planner est un agent fondamental con�u pour aider directement les chefs de produit dans GitLab.

L'agent Planner permet de cr�er, modifier et analyser les t�ches GitLab. Au lieu de rechercher manuellement les mises � jour, de hi�rarchiser les t�ches ou de r�sumer les donn�es de planification, l'agent Planner aide � analyser les retards, � appliquer des cadres tels que RICE ou MoSCoW, et � mettre en �vidence ce qui n�cessite vraiment une attention particuli�re.

� C'est comme avoir un co�quipier proactif qui comprend votre flux de travail de planification et collabore avec vous pour prendre des d�cisions plus efficaces et plus judicieuses �, a d�clar� GitLab sur son site.

Agent GitLab Duo Security Analyst

L'agent GitLab Duo Security Analyst, introduit en version b�ta dans GitLab 18.5, est d�sormais disponible dans GitLab 18.8.

L'agent Security Analyst permet aux ing�nieurs de g�rer les vuln�rabilit�s � l'aide de commandes en langage naturel dans GitLab Duo Agentic Chat. Au lieu de cliquer manuellement sur les tableaux de bord des vuln�rabilit�s ou d'�crire des scripts personnalis�s pour les op�rations en masse, les �quipes de s�curit� peuvent d�sormais trier, �valuer et fournir des conseils sur les vuln�rabilit�s dans les conversations Chat.

En tant qu'agent fondamental, l'agent Security Analyst est disponible par d�faut dans GitLab Duo Agentic Chat, sans configuration manuelle requise.

Rejet automatique des vuln�rabilit�s non pertinentes gr�ce aux politiques de gestion des vuln�rabilit�s

Les �quipes de s�curit� peuvent d�sormais rejeter automatiquement les vuln�rabilit�s qui ne s'appliquent pas � leur organisation � l'aide de politiques de gestion des vuln�rabilit�s. Le rejet des vuln�rabilit�s qui ne sont pas pertinentes pour une organisation r�duit le bruit et aide les d�veloppeurs � se concentrer sur les vuln�rabilit�s qui pr�sentent un risque r�el.

Les ing�nieurs peuvent cr�er des politiques pour rejeter automatiquement les vuln�rabilit�s en fonction des �l�ments suivants :

Chemin d'acc�s au fichier
R�pertoire
Identifiant (CVE, CWE ou OWASP)

Les vuln�rabilit�s rejet�es automatiquement apparaissent dans le widget de s�curit� de la demande de fusion avec une �tiquette � Rejet� automatiquement � et sont suivies dans l'activit� du rapport de vuln�rabilit� avec un motif de rejet � des fins d'audit.

La version 18.8 de GitLab comprend �galement diverses am�liorations suppl�mentaires, telles que des corrections de bogues, des optimisations des performances et des am�liorations de l'interface utilisateur, qui facilitent davantage le travail des utilisateurs tout au long de leurs processus de d�veloppement.

Source : GitLab

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous des nouveaut�s propos�es par cette version de GitLab ? Les trouvez-vous utiles et int�ressantes ?

Voir aussi :

:fleche: La forge logicielle GitLab 18.7 propose de nouvelles automatisations, des contr�les de pipeline et des mises � jour de politiques pour aider les �quipes � r�duire le travail manuel et simplifier les processus

:fleche: GitLab 18.6, la plateforme d'h�bergement de code et de DevOps, est disponible avec une interface utilisateur repens�e, une recherche de code pr�cise, de nouvelles fonctionnalit�s CI/CD et bien plus encore

Images attach�es

Au c�ur du massacre des PR des logiciels open source (OSS) sur GitHub, par Kush Creates

Kush Creates — Fri, 02 Jan 2026 13:30:14 GMT

Au c�ur du massacre des PR des logiciels open source (OSS) sur GitHub, par Kush Creates

Une analyse approfondie de la fa�on dont un simple tutoriel vu 5,6 millions de fois a d�clench� des ann�es de spam README.md sur GitHub, de l'impact r�el sur les mainteneurs de logiciels open source (OSS) et les d�veloppeurs indiens, et des raisons pour lesquelles � nous supposons que certains ont manqu� cette partie :) � pourrait �tre la pire r�ponse � une critique l�gitime. Il ne s'agit pas seulement de Pull Requests (PR) ennuyeuses, mais aussi de responsabilit� �ducative, de d�sespoir professionnel et des dommages caus�s lorsque les cr�ateurs de contenu privil�gient les vues plut�t que les cons�quences.

Introduction

�coutez, il faut qu'on parle. Pas le � il faut qu'on parle � que votre manager vous envoie � 17 h un vendredi, mais celui que votre oncle bien intentionn� vous adresse lorsque vous �tes sur le point de prendre une d�cision d�sastreuse, comme vous faire tatouer le cou ou, je ne sais pas, ajouter votre nom au fichier README.md d'Express.JS.

Sc�ne de crime

Imaginez : vous �tes responsable de la maintenance d'Express.JS, un framework si fondamental qu'il est probablement utilis� par le site web sur lequel vous postulez en panique � des offres d'emploi en ce moment m�me. Vous vous r�veillez, prenez votre caf� et ouvrez GitHub pour trouver 47 nouvelles demandes de pull. Votre c�ur se serre. Non pas parce qu'il y a une faille de s�curit� critique, ni parce que quelqu'un a trouv� une fuite de m�moire, mais parce que 22,8 % de vos PR ouvertes ne sont que des personnes ajoutant leur nom � un fichier texte.

C'est comme �tre un chef �toil� au guide Michelin et voir votre cuisine inond�e de commandes de toasts nature. Sans beurre. Et m�me pas grill�s correctement.

Vous ne croyez pas � l'ampleur de ce d�sastre ? Laissez-moi vous montrer ce � quoi les responsables de la maintenance d'Express.js sont confront�s chaque jour. Ce ne sont pas des exemples choisis � la va-vite. Il s'agit simplement d'un mardi matin comme les autres pour l'un des frameworks JavaScript les plus importants qui alimentent le web moderne.

GitHub Express.JS PR Spam by @mohdumer-dev

GitHub Express.JS PR Spam by @jeetvani

GitHub Express.JS PR Spam by @FijiAura

Et ceux-l� ? Ce ne sont que trois exemples que j'ai trouv�s en cinq minutes. Il y en a litt�ralement des milliers d'autres. Parcourez l'historique des PR d'Express.JS et vous les trouverez remontant � plusieurs ann�es, un cimeti�re sans fin de � Ajout de mon nom � README.md �, � Mise � jour de la liste des contributeurs �, � Ma premi�re contribution ! �, etc.

Le tutoriel qui a bris� le logiciel open source (OSS)

Quelque part dans l'immensit� de YouTube, il existe un tutoriel de codage qui a �t� visionn� 5,6 millions de fois. CINQ. VIRGULE. SIX. MILLIONS. Pour mettre les choses en perspective, cela correspond � peu pr�s � la population de la Finlande, sauf que la Finlande dispose d'un syst�me de sant� universel et que ce tutoriel nous a donn� un spam README universel.

La vid�o, un tutoriel bien intentionn� intitul� � Complete Git and GitHub Tutorial for Beginners� (Tutoriel complet sur Git et GitHub pour les d�butants) par Apna College sur YouTube, contenait ce qui peut �tre d�crit comme l'�quivalent �ducatif de montrer � quelqu'un comment fabriquer un cocktail Molotov, puis d'ajouter � mais ne l'utilisez pas � � la fin, apr�s qu'il ait d�j� allum� la m�che.

� 01:13:04, l'instructeur a montr� comment forker Express.JS, apporter une � contribution � en ajoutant son nom au fichier README.md et soumettre une PR. Pour des millions d'apprenants enthousiastes, cela ressemblait � la poign�e de main secr�te pour entrer dans le cercle tr�s ferm� des d�veloppeurs. C'�tait la parole d'�vangile. C'�tait la voie � suivre.

C'�TAIT CATASTROPHIQUEMENT FAUX.

Quand les excuses viennent apr�s que vous ayez d�j� br�l� le r�f�rentiel

C'est l� que �a devient int�ressant. Lorsque l'internet a finalement mis Apna College sous les feux de la rampe, leur r�ponse a �t�... un coup de ma�tre en mati�re de d�viation :

Citation:

Envoy� par Commentaire d'Apna College sur YouTube

En r�f�rence � notre tutoriel Git, toute personne parlant hindi comprendra qu'� 1 h 13 min, nous avons utilis� un exemple pour dire aux apprenants de NE PAS adopter cette � mauvaise pratique open source �. Le PR n'a JAMAIS �t� cr�� dans le tutoriel et il a �t� clairement r�p�t� aux spectateurs pendant les 35 secondes suivantes (01:14:03 � 01:14:39) de ne pas cr�er de PR inutile pour mettre � jour le README.md. Nous supposons que certains ont manqu� cette partie :) Nous esp�rons que cela clarifie toute confusion.

Oh, ils supposent que certains ont rat� cette partie. Avec un smiley. Quelle d�licieuse passivit� agressive.

Vous avez pass� une heure � pr�parer ce moment. Vous avez montr� chaque �tape dans les moindres d�tails : comment cr�er un fork, comment modifier, comment cr�er un commit, comment pousser. La dopamine �tait L�. Et puis, apr�s avoir montr� tout le processus, vous avez pass� 35 secondes � dire � mais ne faites pas �a en r�alit� �.

Les d�veloppeurs juniors d�sesp�r�s ne se demandent pas � Comment puis-je apporter de la valeur aux logiciels open source ? �, mais � Quel est le chemin le plus rapide pour obtenir un carr� vert sur mon profil GitHub ? �.

Le culte du cargo des logiciels open source

Il existe un beau concept appel� � culte du cargo �. Il s'agit de faire quelque chose parce que vous avez vu des personnes qui ont r�ussi le faire, sans comprendre pourquoi. Pendant la Seconde Guerre mondiale, les habitants des �les du Pacifique ont vu des avions apporter du fret aux bases militaires. Apr�s la guerre, ils ont construit de fausses pistes d'atterrissage et des tours de contr�le en bambou, dans l'espoir que les avions reviennent. Spoiler : ils ne sont pas revenus.

Les nouveaux d�veloppeurs voient des ing�nieurs seniors avec des profils GitHub impressionnants, remplis de contributions � des projets majeurs. Ils se disent : � Je vais faire pareil ! � Mais ils construisent des pistes d'atterrissage en bambou. Ils imitent l'apparence de la contribution sans comprendre que la valeur r�elle r�side dans la r�solution de probl�mes concrets, la correction de bugs r�els et l'am�lioration des bases de code.

Ajouter votre nom � un fichier README.md n'est pas une contribution. C'est comme un graffiti. Un graffiti tr�s poli, bien format�, mais un graffiti quand m�me.

Le cauchemar des mainteneurs

Parlons des vraies victimes : les mainteneurs de logiciels open source qui font fonctionner la moiti� d'Internet pendant leurs week-ends.

Ces personnes ne sont pas pay�es pour examiner vos PR. Ce ne sont pas vos agents de placement personnels. Ce sont des ing�nieurs qualifi�s qui donnent de leur temps pour maintenir en vie des infrastructures critiques, et au lieu de passer ce temps � r�soudre des probl�mes r�els, ils jouent au chat et � la souris avec des PR ind�sirables.

Imaginez que vous soyez chirurgien et que vous deviez trier 50 personnes qui se sont pr�sent�es aux urgences pour demander si elles peuvent ajouter leur nom au formulaire d'admission des patients � pour acqu�rir de l'exp�rience �. C'est le niveau d'absurdit� auquel nous op�rons.

La crise de r�putation dont personne ne veut parler

Voici la v�rit� d�rangeante : ce spam massif cr�e des pr�jug�s. Lorsque les responsables voient affluer des contributions de mauvaise qualit� provenant principalement d'une r�gion, des sch�mas inconscients se forment. Ce n'est pas juste, ce n'est pas correct, mais c'est la psychologie humaine.

Les brillants d�veloppeurs indiens qui apportent r�ellement des contributions significatives doivent d�sormais travailler deux fois plus dur pour surmonter le scepticisme cr�� par la brigade de spam README.md. C'est la trag�die des biens communs, sauf que les biens communs sont GitHub et que nous sommes � court de bonne volont�.

La dure v�rit� sur les raccourcis

Vous savez pourquoi les d�veloppeurs seniors vous disent � apprends juste les bases, mec �, � construis juste des projets, mec � et � lis la documentation � ? Parce qu'il n'y a pas de raccourci. Aucun. La personne qui vous a dit le contraire mentait pour obtenir des vues et des revenus publicitaires.

Tous les d�veloppeurs seniors que vous admirez ont pass� des ann�es � d�boguer des erreurs �tranges � 2 heures du matin, � lire des documentations qui n'avaient aucun sens, � casser des choses � r�p�tition et � acqu�rir lentement de v�ritables comp�tences. Ils n'ont pas pirat� le syst�me. Ils ont fait le travail.

Le graphique de contribution GitHub est un effet secondaire de l'apprentissage, pas le but. C'est comme perdre du poids. Si vous vous concentrez sur le chiffre sur la balance plut�t que de d�velopper des habitudes saines, vous ferez le yo-yo et �chouerez. Concentrez-vous sur le d�veloppement de vos comp�tences, la compr�hension des syst�mes, la cr�ation de valeur. Les carr�s verts suivront.

Conclusion

LES LOGICIELS OPEN SOURCE (OSS) SONT UNE �CONOMIE DU DON. Vous apportez de la valeur, vous gagnez en r�putation. Vous gagnez en r�putation, des portes s'ouvrent. Mais vous ne pouvez pas simuler la valeur, pas plus que vous ne pouvez simuler l'exp�rience.

La crise du spam README n'est pas seulement aga�ante. C'est le sympt�me d'une approche d�faillante de l'apprentissage et du d�veloppement de carri�re. C'est le pire exemple de programmation culte du cargo, et cela nuit � toutes les personnes impliqu�es.

Voici donc ce qu'il faut faire : supprimez ce tutoriel de votre historique de vid�o regard�e. Fermez cette PR qui ajoute votre nom au README de React. Et � la place, allez construire quelque chose. Cassez quelque chose. R�parez quelque chose. Apprenez quelque chose de r�el.

C'est la seule fa�on de faire. La seule fa�on.

Et pour l'amour de Linus Torvalds, laissez les fichiers README.md tranquilles.

P.S. � l'attention des responsables de la maintenance qui lisent ceci : vous faites un travail formidable. � l'attention des �tudiants qui lisent ceci : vous �tes capables de bien plus que de spammer les fichiers README. � l'attention des enseignants qui lisent ceci : le bouton � Modifier � est toujours l�. Il n'attend que vous. Utilisez-le.

P.P.S. � Nous supposons que certains ont manqu� cette partie :) � est peut-�tre la phrase la plus exasp�rante jamais �crite en r�ponse � une critique l�gitime. Faites mieux.

Source : "Inside The Open Source Softwares (OSS) PRs Massacre of GitHub"

Les logos utilis�s dans cet article sont des marques d�pos�es appartenant � leurs propri�taires respectifs. Ils sont inclus � titre informatif uniquement et n'impliquent aucune affiliation ou recommandation.

- Le logo GitHub est une marque d�pos�e de GitHub, Inc.
- Le logo Open Source est une marque d�pos�e de l'Open Source Initiative (OSI).

Toutes les marques, logos et noms de marque mentionn�s dans cet article appartiennent � leurs propri�taires respectifs.

"Inside The Open Source Softwares (OSS) PRs Massacre of GitHub" par Kush Creates est sous licence Creative Commons Attribution 4.0 International.

Et vous ?

:fleche: Pensez-vous que ces affirmations sont cr�dibles ou pertinentes ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Un rapport de GitHub d�montre la forte d�pendance mondiale aux logiciels open source, si ces logiciels continuent de gagner en popularit�, les logiciels propri�taires sont toujours bien vivants

:fleche: L'absence de r�mun�ration dans le domaine des logiciels open source est insoutenable, d'apr�s Thomas Stringer, d�veloppeur logiciel

:fleche: Le destin du � petit � open source : l'�re des petites biblioth�ques � faible valeur ajout�e est r�volue, les LLM en sont le coup de gr�ce, par Nolan Lawson

Images attach�es

Le destin du � petit � open source : l'�re des petites biblioth�ques � faible valeur ajout�e est r�volue

Nolan Lawson — Thu, 01 Jan 2026 10:09:14 GMT

Le destin du � petit � open source : l'�re des petites biblioth�ques � faible valeur ajout�e comme blob-util est r�volue, les LLM en sont le coup de gr�ce, par Nolan Lawson

Le package npm le plus populaire que j'ai jamais �crit est de loin blob-util, qui a environ 10 ans et qui enregistre encore plus de 5 millions de t�l�chargements par semaine.

Il s'agit d'une petite collection d'utilitaires permettant de travailler avec des blobs en JavaScript. Je l'ai �crit parce que j'ai constat� que les utilisateurs de PouchDB �taient sans cesse perplexes quant � la mani�re de travailler avec les blobs et de les convertir en cha�nes, en ArrayBuffers, etc.

�tant donn� qu'environ 80 % des d�veloppeurs utilisent d�sormais l'IA dans leur travail quotidien, blob-util est tr�s certainement le genre de chose que la plupart des d�veloppeurs seraient ravis de voir g�n�rer par un LLM. Bien s�r, vous pourriez utiliser blob-util, mais vous vous exposeriez alors � une d�pendance suppl�mentaire, avec des risques inconnus en termes de performances, de maintenance et de cha�ne d'approvisionnement.

Et bien s�r, Claude se fera un plaisir de vous fournir tous les utilitaires Blob dont vous avez besoin lorsque vous le lui demanderez :

> �crivez-moi une fonction utilitaire en TypeScript pour convertir un Blob en ArrayBuffer. Elle doit renvoyer une promesse.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
function blobToArrayBuffer(blob: Blob): Promise<ArrayBuffer> {
  return new Promise((resolve, reject) => {
    const reader = new FileReader();
 
    reader.onload = () => {
      if (reader.result instanceof ArrayBuffer) {
        resolve(reader.result);
      } else {
        reject(new Error('Failed to read Blob as ArrayBuffer'));
      }
    };
 
    reader.onerror = () => {
      reject(reader.error);
    };
 
    reader.readAsArrayBuffer(blob);
  });
}

La version de Claude est assez proche de celle de blob-util (ce qui n'est pas surprenant, puisqu'il a probablement �t� form� sur celle-ci !). Elle est toutefois beaucoup plus verbeuse, v�rifiant inutilement si readAsArrayBuffer vous donne r�ellement un ArrayBuffer (m�me si cela satisfait TypeScript). Pour �tre honn�te, elle am�liore �galement mon impl�mentation en rejetant directement avec une erreur plut�t qu'avec l'�v�nement onerror, plus maladroit.

Remarque : pour ceux qui se poseraient la question, oui, Claude a bien sugg�r� la nouvelle m�thode Blob.arrayBuffer(), mais il a �galement g�n�r� ce qui pr�c�de pour les � environnements plus anciens �.

Je suppose que certaines personnes y verraient un progr�s : moins de d�pendances, un code plus robuste (m�me s'il est un peu plus verbeux), un d�lai d'ex�cution plus rapide que l'ancienne approche � rechercher npm, trouver un paquet, lire la documentation, l'installer �.

Je ne suis pas particuli�rement fier de cette biblioth�que et je me moque que le nombre de t�l�chargements augmente ou diminue. Mais je pense que l'approche IA fait perdre quelque chose. Lorsque j'ai �crit blob-util, j'ai adopt� une mentalit� d'enseignant : le README contient un tutoriel mignon et fantaisiste mettant en sc�ne Kirby, dans toute sa splendeur blob. (� l'�poque, j'avais tendance � mettre des personnages Nintendo dans toutes mes cr�ations.)

L'objectif n'�tait pas seulement de vous fournir un utilitaire pour r�soudre votre probl�me (m�me si c'est le cas), mais aussi d'apprendre aux gens � utiliser JavaScript efficacement, afin qu'ils comprennent comment r�soudre d'autres probl�mes � l'avenir.

Je ne sais pas dans quelle direction nous allons avec l'IA (enfin, environ 80 % d'entre nous ; aux autres, je vous salue et vous souhaite bonne chance !), mais je pense que c'est un avenir o� nous privil�gions les r�ponses instantan�es plut�t que l'enseignement et la compr�hension. Il y a moins de raisons d'utiliser quelque chose comme blob-util, ce qui signifie qu'il y a moins de raisons de l'�crire en premier lieu, et donc moins de raisons d'�duquer les gens sur le probl�me.

M�me aujourd'hui, il existe un mouvement visant � placer la documentation dans un fichier llms.txt, afin que vous puissiez simplement pointer un agent vers celui-ci et �pargner � vos cellules c�r�brales l'effort de d�chiffrer la prose anglaise. (Est-ce encore de la documentation ? Qu'est-ce que la documentation ?)

Conclusion

Je crois toujours en l'open source, et je continue � m'y consacrer (par �-coups). Mais une chose m'appara�t d�sormais clairement : l'�re des petites biblioth�ques � faible valeur ajout�e comme blob-util est r�volue. Elles �taient d�j� en voie de disparition gr�ce � Node.js et au navigateur qui prenait en charge de plus en plus de leurs fonctionnalit�s (voir node:glob, structuredClone, etc.), mais les LLM ont donn� le coup de gr�ce.

Cela signifie qu'il y a moins d'occasions d'utiliser ces biblioth�ques comme tremplin pour la formation des utilisateurs (Underscore.js avait �galement cette philosophie), mais ce n'est peut-�tre pas grave. S'il n'est pas n�cessaire de trouver une biblioth�que pour, par exemple, regrouper les �l�ments d'un tableau, alors peut-�tre qu'il n'est pas n�cessaire d'apprendre le fonctionnement de ces biblioth�ques. De nombreux d�veloppeurs de logiciels diront qu'il est inutile de demander � un candidat d'inverser un arbre binaire, car cela ne se produit jamais dans le travail quotidien. On peut donc peut-�tre en dire autant des biblioth�ques utilitaires.

J'essaie toujours de d�terminer quels types d'open source m�ritent d'�tre d�velopp�s dans cette nouvelle �re (indice : ceux qu'un LLM ne peut pas simplement recracher sur commande) et o� l'�ducation fait le plus d�faut. Je pense actuellement que la plus grande valeur r�side dans les projets plus importants, les projets plus inventifs ou les sujets plus sp�cialis�s qui ne sont pas couverts par les donn�es d'entra�nement d'un LLM. Par exemple, quand je repense � mon travail sur fuite et � divers articles de blog sur la recherche de fuites de m�moire, je suis assez satisfait qu'un LLM ne puisse pas reproduire cela, car cela n�cessite des recherches novatrices et des techniques cr�atives. (Mais qui sait : peut-�tre qu'un jour, un agent sera capable de se cogner la t�te contre les instantan�s de la pile Chrome jusqu'� ce qu'il trouve la fuite. Je le croirai quand je le verrai.)

Ces derniers temps, on s'est beaucoup interrog� sur la place de l'open source dans un monde domin� par les LLM, mais je vois encore des gens repousser les limites. Par exemple, beaucoup de d�tracteurs pensent qu'il est inutile d'�crire un nouveau framework JavaScript, car les LLM sont tellement entra�n�s sur React, mais voil� que l'infatigable Dominic Gannaway �crit Ripple.js, un autre framework JavaScript (avec quelques nouvelles id�es, en plus !). C'est le genre de chose que j'aime voir : des humains qui rient au nez de la machine et continuent � faire leur truc d'humains.

Donc, s'il y a une conclusion � ce billet de blog d�cousu (excusez mon cerveau humain mou, je n'ai pas utilis� de LLM pour l'�crire), c'est simplement celle-ci : oui, les LLM ont rendu certains types d'open source obsol�tes, mais il reste encore beaucoup d'open source � �crire. Je suis impatient de voir quelles id�es nouvelles et inattendues vous allez trouver.

Source : "The fate of �small� open source"

Et vous ?

:fleche: Pensez-vous que ces affirmations sont cr�dibles ou pertinentes ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Le produit open source est un outil de marketing, et souvent les programmeurs open source travaillent gratuitement pour enrichir les grandes entreprises technologiques, par Robert Vitonsky

:fleche: L'Open Source serait en difficult� et ce n'est pas la faute des grandes entreprises technologiques, d'apr�s Jan Kammerath

:fleche: R�flexions sur l'avenir du d�veloppement de logiciels, suite � l'arriv�e des grands mod�les de langage (LLM) capables de g�n�rer du code, par Sheshbabu Chinnakonda

L'essor des agents IA transforme la mani�re dont les logiciels peuvent �tre d�velopp�s

Alex — Wed, 31 Dec 2025 14:57:07 GMT

L'essor des agents IA transforme la mani�re dont les logiciels peuvent �tre d�velopp�s : une �tude affirme que les d�veloppeurs de logiciels professionnels ne vibe codent pas, ils contr�lent

Une �tude montre que si les d�veloppeurs exp�riment�s appr�cient les agents IA pour leur capacit� � am�liorer la productivit�, ils conservent leur pouvoir d'action dans la conception et la mise en �uvre des logiciels en insistant sur les attributs fondamentaux de la qualit� des logiciels et en employant des strat�gies pour contr�ler le comportement des agents en tirant parti de leur expertise. En outre, les d�veloppeurs exp�riment�s ont une opinion globalement positive de l'int�gration des agents dans le d�veloppement de logiciels, car ils sont convaincus de pouvoir pallier les limites des agents.

Le vibe coding est une technique de d�veloppement logiciel assist�e par l'intelligence artificielle (IA). Le terme a �t� introduit par Andrej Karpathy en f�vrier 2025. Le Vibe Coding d�crit une approche bas�e sur les chatbots pour cr�er des logiciels, dans laquelle le d�veloppeur d�crit un projet ou une t�che � un grand mod�le de langage (LLM), qui g�n�re du code � partir de la requ�te. Le d�veloppeur ne r�vise ni ne modifie le code, mais utilise uniquement des outils et les r�sultats d'ex�cution pour l'�valuer et demande au LLM d'apporter des am�liorations. Contrairement au codage assist� par l'IA ou � la programmation en bin�me traditionnels, le d�veloppeur humain �vite d'examiner le code, accepte les compl�ments sugg�r�s par l'IA sans r�vision humaine et se concentre davantage sur l'exp�rimentation it�rative que sur l'exactitude ou la structure du code.

Dans le contexte de l'intelligence artificielle g�n�rative, les agents IA sont une cat�gorie d'agents intelligents qui se distinguent par leur capacit� � fonctionner de mani�re autonome dans des environnements complexes. Les outils d'IA agentique privil�gient la prise de d�cision plut�t que la cr�ation de contenu et ne n�cessitent pas d'intervention humaine ni de supervision continue. Les agents IA poss�dent plusieurs attributs cl�s, notamment des structures d'objectifs complexes, des interfaces en langage naturel, la capacit� d'agir ind�pendamment de la supervision de l'utilisateur et l'int�gration d'outils logiciels ou de syst�mes de planification. Leur flux de contr�le est souvent pilot� par des LLM. Les agents comprennent �galement des syst�mes de m�moire pour se souvenir des interactions pr�c�dentes entre l'utilisateur et l'agent, ainsi que des logiciels d'orchestration pour organiser les composants de l'agent.

L'essor des agents IA et du vibe coding transforment la mani�re dont les logiciels peuvent �tre d�velopp�s. Une enqu�te men�e en juillet 2025 par Fastly aupr�s de 791 d�veloppeurs a r�v�l� une diff�rence notable dans la quantit� de code g�n�r� par l'IA qui est mis en production. Environ un tiers des d�veloppeurs seniors (plus de 10 ans d'exp�rience) d�clarent que plus de la moiti� du code qu'ils livrent est g�n�r� par l'IA, soit pr�s de deux fois et demie le taux d�clar� par les d�veloppeurs juniors (0 � 2 ans d'exp�rience), qui est de 13 %. Un peu plus de 50 % des d�veloppeurs juniors d�clarent que l'IA les rend mod�r�ment plus rapides. En revanche, seuls 39 % des d�veloppeurs seniors partagent cet avis.

Les agents IA promettent aux d�veloppeurs de pouvoir �crire du code plus rapidement, d�l�guer plusieurs t�ches � diff�rents agents et m�me �crire un logiciel complet uniquement � partir du langage naturel. En r�alit�, le r�le que jouent les agents dans le d�veloppement professionnel de logiciels reste incertain. Un nouvelle �tude examine comment les d�veloppeurs exp�riment�s utilisent les agents dans le d�veloppement de logiciels, notamment leurs motivations, leurs strat�gies, l'ad�quation des t�ches et leurs sentiments.

Gr�ce � des observations sur le terrain (N = 13) et � des enqu�tes qualitatives (N = 99), les r�sultats montrent que si les d�veloppeurs exp�riment�s appr�cient les agents pour leur capacit� � am�liorer la productivit�, ils conservent leur pouvoir d'action dans la conception et la mise en �uvre des logiciels en insistant sur les attributs fondamentaux de la qualit� des logiciels et en employant des strat�gies pour contr�ler le comportement des agents en tirant parti de leur expertise.

En outre, les d�veloppeurs exp�riment�s ont une opinion globalement positive de l'int�gration des agents dans le d�veloppement de logiciels, car ils sont convaincus de pouvoir pallier les limites des agents. Les r�sultats mettent en lumi�re la valeur des meilleures pratiques en mati�re de d�veloppement logiciel pour une utilisation efficace des agents, sugg�rent les types de t�ches pour lesquelles les agents peuvent �tre adapt�s et indiquent les opportunit�s futures pour de meilleures interfaces agentives et de meilleures directives d'utilisation des agents.

Les d�veloppeurs de logiciels professionnels ne vibrent pas, ils contr�lent : utilisation des agents IA pour le codage en 2025

L'IA est en train de transformer rapidement la pratique de la programmation. D�j�, environ la moiti� des d�veloppeurs de logiciels professionnels utilisent quotidiennement des outils d'IA. Les grands mod�les de langage (LLM) sont particuli�rement dou�s pour �crire du code et deviennent chaque ann�e plus performants. � l'origine, en 2021, les LLM ne fournissaient qu'une aide au codage sous forme d'autocompl�tion ultra-performante. Mais plus r�cemment, leurs capacit�s ont �volu� pour permettre d'acc�der, de modifier et de tester des bases de code enti�res de mani�re autonome, �tape par �tape. Nous sommes d�sormais entr�s dans l'�re du codage agentique.

De nombreuses questions restent en suspens quant aux capacit�s de ces agents et � la meilleure fa�on de les utiliser. Nous entendons parfois des anecdotes de personnes qui ont essay� une fois et qui n'ont pas obtenu de bons r�sultats. Mais cela contraste avec ce que l'on peut lire sur les r�seaux sociaux : certains utilisateurs en ligne affirment utiliser des dizaines d'agents � la fois pour construire de mani�re autonome des logiciels volumineux, une affirmation si intrigante mais potentiellement incroyable qu'elle fait l'objet de parodies. Que se passe-t-il r�ellement ?

Les �tudes humaines sur le codage agentique font leur apparition, mais restent encore rares. Un essai randomis� notable a r�v�l� que les mainteneurs open source exp�riment�s �taient en fait ralentis de 19 % lorsqu'ils �taient autoris�s � utiliser l'IA, et qu'un syst�me agentique d�ploy� dans un outil de suivi des probl�mes ne voyait que 8 % de ses invocations aboutir � un succ�s complet (une demande de fusion). Ces r�sultats sugg�rent que l'IA agentielle n'est peut-�tre pas aussi utile qu'elle pourrait le para�tre � premi�re vue, mais environ un quart des d�veloppeurs professionnels d�clarent d�j� utiliser des agents IA au moins une fois par semaine.

Quelques �tudes r�centes ont port� sur le � vibe coding �. Bien que ce terme soit parfois utilis� pour d�signer tout codage avec des agents IA, ces articles �tudient le � vibe coding � comme une forme particuli�re d'utilisation d'agents qui vise � procurer une exp�rience de � fluidit� et de joie � en faisant confiance � l'IA plut�t qu'en examinant attentivement le code g�n�r�, � o� l'on s'abandonne compl�tement aux vibrations �, � o� l'on oublie m�me que le code existe � et � o� l'on ne lit plus les diff�rences �. Les praticiens reconnaissent tacitement que le vibe coding produit un code de moindre qualit�. En tant que tel, le vibe coding n'est peut-�tre pas l'approche la plus efficace du codage agentique, et n'est peut-�tre pas la mani�re dont les d�veloppeurs exp�riment�s utilisent les agents. Comment, alors, les d�veloppeurs exp�riment�s cr�ent-ils des logiciels de qualit� avec des agents IA ?

Cette �tude tente de mieux comprendre les pratiques actuelles du codage agentique par des experts, afin de comprendre ce qui fonctionne et ce qui ne fonctionne pas. Par rapport aux travaux ant�rieurs, les chercheurs (a) ne limitent pas l'�tude au vibe coding et (b) ils se sont int�ress�s uniquement aux d�veloppeurs exp�riment�s, dans l'espoir qu'ils aient suffisamment d'expertise pour porter un regard critique et perspicace sur les outils agents utilis�s dans le monde r�el. L'�tude se pr�sente en deux parties : 13 observations sur le terrain et une enqu�te plus large aupr�s de 99 d�veloppeurs exp�riment�s � dans l'espoir de r�pondre � quatre questions de recherche (RQ) :

- RQ1 - Motivations. Qu'est-ce qui importe aux d�veloppeurs exp�riment�s lorsqu'ils int�grent des agents dans
leur processus de d�veloppement logiciel ?
- QR2 - Strat�gies. Quelles strat�gies les d�veloppeurs exp�riment�s emploient-ils lorsqu'ils d�veloppent des logiciels avec des agents ?
- QR3 - Ad�quation. � quoi les agents de d�veloppement logiciel sont-ils adapt�s, et quand �chouent-ils ?
- QR4 - Sentiments. Quels sentiments les d�veloppeurs exp�riment�s �prouvent-ils lorsqu'ils utilisent des outils agentiels ?

La conclusion la plus marquante est que, en effet, les d�veloppeurs professionnels ne vibe code pas. Au contraire, ils contr�lent soigneusement les agents par la planification et la supervision. Plus pr�cis�ment, ils recherchent un gain de productivit� tout en continuant � valoriser les attributs de qualit� des logiciels (RQ1), ils planifient avant de mettre en �uvre et de valider toutes les sorties des agents (RQ2), ils trouvent que les agents conviennent � des t�ches bien d�crites et simples, mais pas � des t�ches complexes (RQ3), et pourtant ils appr�cient g�n�ralement d'utiliser des agents tant qu'ils en ont le contr�le (RQ4).

Voici les conclusions de l'�tude :

� Afin de mieux comprendre les pratiques actuelles des experts en mati�re de codage agentique, nous avons �tudi� des d�veloppeurs exp�riment�s (ayant plus de trois ans d'exp�rience professionnelle) � travers 13 observations sur le terrain, compl�t�es par une enqu�te plus large men�e aupr�s de 99 r�pondants. Notre objectif �tait de conna�tre leurs valeurs et leurs motivations pour utiliser des agents, leurs strat�gies de workflow, les domaines dans lesquels les agents sont adapt�s et leur opinion sur l'utilisation des agents de codage.

Nous avons constat� que les d�veloppeurs exp�riment�s ne codent pas actuellement de mani�re intuitive. Au contraire, ils contr�lent soigneusement les agents gr�ce � une planification et une supervision active, car ils se soucient de la qualit� des logiciels. M�me s'ils ne lisent pas toujours le code pour valider les r�sultats des agents, ils veillent � ne pas perdre le contr�le et ne laissent pas les agents fonctionner de mani�re totalement autonome, en leur confiant notamment seulement quelques t�ches � la fois.

Ils appr�cient g�n�ralement l'utilisation des agents, qu'ils trouvent adapt�s pour acc�l�rer les t�ches simples, r�p�titives et de mise en place, y compris une grande vari�t� de t�ches d'ing�nierie logicielle telles que la r�daction de tests, la documentation, la refactorisation et le d�bogage simple. Cependant, les avis sont partag�s quant � la r�daction de plans avec des agents, et ils n'utilisent pas d'agents pour la logique m�tier fondamentale ou les t�ches complexes.

Les capacit�s et les interfaces de l'IA �voluent rapidement : ce travail dresse un tableau de ce qui fonctionne et de ce qui ne fonctionne pas actuellement, servant de point de r�f�rence � la fois pour calibrer les attentes concernant l'IA actuelle et pour ancrer la comparaison dans les ann�es � venir afin de voir dans quelle mesure l'IA s'est am�lior�e depuis 2025. � l'heure actuelle, les IA ne prennent pas encore le dessus : les d�veloppeurs exp�riment�s gardent le contr�le. �

Avec l'essor d'outils d'IA tels que ChatGPT, il est d�sormais possible de d�crire un programme en langage naturel (fran�ais par exemple) et de demander au mod�le d'IA de le traduire en code fonctionnel, souvent sans comprendre comment le code fonctionne. Andrej Karpathy, ancien chercheur d'OpenAI, a donn� un nom � cette pratique, le � vibe coding �, qui gagne du terrain dans les milieux technologiques. Google a m�me d�clar� g�n�rer 25 % de son code par IA. David Farley pour sa part est d�avis que c�est la pire id�e en 2025.

Source : "Professional Software Developers Don't Vibe, They Control: AI Agent Use for Coding in 2025"

Et vous ?

:fleche: Pensez-vous que cette �tude est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Le code g�n�r� par l'IA contient plus de bogues et d'erreurs que celui produit par l'homme : les demandes d'extraction effectu�es � l'aide d'outils d'IA comportaient en moyenne 10,83 probl�mes contre 6,45

:fleche: Le Vibe Coding cr�e des codeurs sans cervelle, par Namanyay Goel

:fleche: Une exp�rience de vibe coding : le bon, le mauvais et le laid, par Nolan Lawson

:fleche: Si vous �tes dou� pour la r�vision de code, vous serez dou� pour utiliser les agents IA, par Sean Goedecke

Images attach�es

Emp�chez Claude Code d'oublier tout gr�ce � une petite base de donn�es m�morielle

Jade Emy — Tue, 30 Dec 2025 16:12:53 GMT

Emp�chez Claude Code d'oublier tout gr�ce � une petite base de donn�es m�morielle qui se souvient de vos sessions

L'un des reproches des utilisateurs � Claude Code est le fait qu'il oublie le contexte. Un utilisateur a notamment d�clar� : � J'en avais assez que Claude Code oublie tout mon contexte � chaque fois que j'ouvrais une nouvelle session : d�cisions de configuration, mes pr�f�rences en mati�re de marges, historique des d�cisions, etc. � Pour y rem�dier, il a cr�� une couche de m�moire partag�e que vous pouvez ajouter en tant que comp�tence Claude Code. Il s'agit essentiellement d'une petite base de donn�es m�moire avec rappel qui m�morise vos sessions. � Ce n'est pas de la magie. Ce n'est pas de l'AGI. C'est juste un �tat. �, ajoute-il.

Claude est une s�rie de grands mod�les de langage d�velopp�s par Anthropic. La premi�re g�n�ration, Claude 1, a �t� lanc�e en mars 2023, et la derni�re, Claude Opus 4.5, en novembre 2025. Les donn�es utilis�es pour ces mod�les proviennent de sources telles que des textes trouv�s sur Internet, des donn�es fournies par des prestataires r�mun�r�s et des utilisateurs de Claude. En f�vrier 2025, Anthropic a lanc� un aper�u de recherche de Claude Code, un outil de ligne de commande agentique qui permet aux d�veloppeurs de d�l�guer des t�ches de codage directement depuis leur terminal.

Claude Code est un assistant d'IA de codage d�velopp� par Anthropic et accessible depuis un terminal. Claude Code comprend votre base de code et vous aide � coder plus rapidement gr�ce � des commandes en langage naturel. Il s'int�gre directement � votre environnement de d�veloppement et rationalise votre flux de travail sans n�cessiter de serveurs suppl�mentaires ou de configuration complexe. Ses principales fonctionnalit�s sont : �diter des fichiers et corriger de bogues dans votre base de code, r�pondre aux questions sur l'architecture et la logique de votre code, ex�cuter et corriger des tests, faire du linting, ainsi que de nombreuses autres commandes.

Cependant, l'un des reproches des utilisateurs � Claude Code est le fait qu'il oublie le contexte. Un utilisateur a notamment d�clar� : � J'en avais assez que Claude Code oublie tout mon contexte � chaque fois que j'ouvrais une nouvelle session : d�cisions de configuration, mes pr�f�rences en mati�re de marges, historique des d�cisions, etc. � Pour y rem�dier, il a cr�� une couche de m�moire partag�e que vous pouvez ajouter en tant que comp�tence Claude Code. Il s'agit essentiellement d'une petite base de donn�es m�moire avec rappel qui m�morise vos sessions. � Ce n'est pas de la magie. Ce n'est pas de l'AGI. C'est juste un �tat. �, ajoute-il.

Voici la pr�sentation de sa m�thode :

Ensue Memory Network

Devenez plus intelligent avec votre IA. Votre intelligence ne devrait pas �tre r�initialis�e � chaque conversation. Ensue est un arbre de connaissances persistant qui grandit avec vous : ce que vous apprenez aujourd'hui enrichit votre raisonnement de demain.

L'id�e

Chaque conversation avec un LLM commence � z�ro. Vous expliquez le contexte, r�tablissez vos pr�f�rences, r�p�tez les d�cisions que vous avez d�j� prises. Vos connaissances ne s'accumulent pas.

Ensue change cela :

- Vos connaissances persistent : construisez un arbre de connaissances qui couvre toutes vos conversations.

- Le contexte est conserv� : les recherches, d�cisions et id�es pr�c�dentes alimentent les nouveaux travaux.

- Vous devenez plus intelligent ensemble : le LLM apprend vos sch�mas de pens�e, pas seulement des faits.

Consid�rez cela comme une m�moire �tendue. Lorsque vous posez une question sur l'inf�rence GPU, le LLM v�rifie ce que vous savez d�j�. Lorsque vous prenez une d�cision architecturale, il fait le lien avec des d�cisions pass�es dans des domaines similaires. Vos connaissances accumul�es font partie int�grante de chaque conversation.

Installation (Claude Code)

Code:

/plugin marketplace add https://github.com/mutable-state-inc/ensue-skill

Code:

/plugin install ensue-memory

Red�marrez Claude Code. La fonctionnalit� vous guidera tout au long de la configuration.

Configuration

Code:

1
2
3
4
5
# Disable auto-logging for a session
ENSUE_READONLY=true claude

# Or add to ~/.zshrc for permanent read-only mode
export ENSUE_READONLY=true

Outre ce syst�me, des d�veloppeurs ont �galement pr�sent� le syst�me de gestion de projet pour Claude Code, un workflow l�ger permettant d'organiser le d�veloppement bas� sur l'IA et de r�duire de moiti� environ le temps de livraison. Toutes les �quipes sont confront�es aux m�mes probl�mes :

- Le contexte s'�vapore entre les sessions, ce qui oblige � tout red�couvrir constamment.
- Le travail en parall�le cr�e des conflits lorsque plusieurs d�veloppeurs modifient le m�me code.
- Les exigences d�rivent lorsque les d�cisions verbales prennent le pas sur les sp�cifications �crites.
- Les progr�s deviennent invisibles jusqu'� la toute fin.

Ce syst�me de gestion de projet pour Claude Code devrait r�soudre tous ces probl�mes.

Source : Pr�sentation "Ensue Memory Network"

Et vous ?

:fleche: Pensez-vous que cette m�thode est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: L'assistant de codage Claude Code d'Anthropic ajoute la prise en charge native du protocole LSP (Language Server Protocol) afin de faciliter la navigation, le refactoring et la compr�hension du code

:fleche: Transformez votre flux de travail de codage IA gr�ce � Claudia, l'interface graphique de bureau pour Claude Code qui facilite la gestion des sessions Claude et la cr�ation d'agents personnalis�s

:fleche: Anthropic bride l'acc�s � Claude Code, accusant une minorit� de d�veloppeurs de laisser Claude tourner en permanence ou de partager ou revendre leurs acc�s, s'attirant les foudres de la majorit�

Images attach�es

Une exp�rience de vibe coding : le bon, le mauvais et le laid, par Nolan Lawson

Nolan Lawson — Tue, 30 Dec 2025 11:00:45 GMT

Une exp�rience de vibe coding : le bon, le mauvais et le laid, par Nolan Lawson

Pour les vacances, je me suis lanc� un petit d�fi : cr�er une petite application web pour que ma femme puisse g�rer ses itin�raires de voyage. Je me suis mis au d�fi d'�viter de modifier le code moi-m�me et de simplement le faire de mani�re � vibe �, pour voir jusqu'o� je pouvais aller.

Au final, l'application a �t� cr��e avec un abonnement � pro � Claude � 20 $ et environ 5 heures de travail effectif sur le clavier. De plus, ma femme est satisfaite du r�sultat, donc je pense que c'est une r�ussite.

Cette approche pr�sente toutefois encore de nombreux d�fauts, j'ai donc d�cid� de partager mon exp�rience dans cet article.

Le bon

L'application fonctionne. Elle s'affiche correctement sur ordinateur et sur mobile, elle fonctionne comme une PWA, elle enregistre ses itin�raires sur un petit serveur PocketBase fonctionnant sur Railway pour 1 $ par mois, et je peux facilement sauvegarder la base de donn�es quand je le souhaite. Les comptes utilisateurs ne peuvent �tre cr��s que par un utilisateur administrateur, que je g�re avec l'interface utilisateur PocketBase.

J'ai d'abord commenc� avec Bolt.new, mais je suis rapidement pass� � Claude Code. J'ai trouv� que Bolt convenait pour la premi�re it�ration, mais qu'il perdait rapidement de son efficacit� par la suite. Chaque fois que je lui demandais de corriger quelque chose et qu'il �chouait (lentement), je me disais : � Claude Code pourrait faire mieux �. Heureusement, vous pouvez simplement exporter depuis Bolt quand vous le souhaitez, c'est donc ce que nous avons fait.

Bolt a mis en place un �chafaudage (scaffolding) SPA assez basique avec Vite et React, ce qui �tait bien, m�me si je n'aimais pas son choix de Supabase, j'ai donc demand� � Claude de le remplacer par PocketBase. Claude m'a beaucoup aid� dans la conception : j'ai demand� plusieurs options pour une bonne base de donn�es auto-h�berg�e et j'ai choisi PocketBase car elle est open source et int�gre des fonctionnalit�s d'administration/authentification. De plus, elle fonctionne sous SQLite, ce qui m'a donn� confiance dans la facilit� d'importation/exportation.

Claude m'a �galement beaucoup aid� pour l'h�bergement. J'h�sitais entre plusieurs options et j'ai finalement choisi Railway sur la suggestion de Claude (pour le meilleur ou pour le pire, cela semble �tre une excellente opportunit� pour les publicit�s/sponsorings � l'avenir). Claude m'a �galement aid� � d�chiffrer l'interface de Railway et � mettre l'application en service, ce qui m'a �vit� d'avoir � lire leur documentation. Il m'a suffi de poster des captures d'�cran et de demander � Claude o� cliquer.

L'application utilise �galement Tailwind, qui semble proposer des styles CSS corrects, similaires � ceux de tous les autres sites web sur Internet. Je n'avais pas besoin de cela pour remporter un prix de design, donc �a m'allait tr�s bien.

Notez que j'ai �galement ex�cut� Claude dans un conteneur Podman avec --dangerously-skip-permissions (alias � mode yolo �) parce que je ne voulais pas avoir � le surveiller chaque fois qu'il demandait l'autorisation d'installer ou d'ex�cuter quelque chose. Dans le pire des cas, un pirate aurait pu voler le code de l'application (bof), mais j'esp�re avoir r�ussi � contr�ler le trio mortel.

Le mauvais

Les outils de vibe coding ne sont clairement pas encore pr�ts pour les non-programmeurs. Au d�part, j'ai essay� de donner Bolt � ma femme et de la laisser se d�brouiller, mais elle s'est rapidement sentie frustr�e, malgr� son exp�rience avec HTML, CSS et WordPress. Le LLM faisait des erreurs (comme d'habitude), mais il se retrouvait pris dans une boucle, et rien de ce qu'elle essayait ne parvenait � le sortir de ce cycle.

Comme j'ai beaucoup d'exp�rience dans la cr�ation d'applications web, j'ai pu examiner les erreurs du LLM et dire : � Oh, ce probl�me se situe dans le backend. � Ou � Oh, il faudrait �crire un test de parseur pour cela. � Ou encore � Oh, il faut une capture d'�cran pour comprendre pourquoi le CSS est incorrect. � Si vous n'avez pas une grande exp�rience en mati�re de d�bogage, vous ne serez peut-�tre pas en mesure d'exprimer succinctement le probl�me � un LLM comme celui-ci. �tre capable de r�diger des rapports de bogues d�taill�s, ou m�me disposer du vocabulaire ad�quat pour d�crire le probl�me, est une comp�tence inestimable dans ce domaine.

Apr�s avoir transf�r� le projet de Bolt � Claude Code et pris les r�nes moi-m�me, j'ai toutefois rencontr� de nombreux probl�mes. Tout d'abord, les LLM sont toujours aussi mauvais en mati�re d'accessibilit� : il y a beaucoup de balises

avec onClick un peu partout. Ma femme est une utilisatrice de souris voyante, donc cela n'avait pas vraiment d'importance, mais j'ai tout de m�me une certaine fiert� professionnelle, m�me en ce qui concerne les d�chets cod�s par vibe, alors j'ai demand� � Claude de corriger cela. (� ce moment-l�, il a rapidement ajout� excessives des aria-label l� o� elles n'�taient pas n�cessaires, alors je lui ai demand� de faire marche arri�re.) Je ne suis pas le premier � le remarquer, mais cela n'augure vraiment rien de bon pour les applications accessibles cod�es par vibe.

Un autre probl�me concernait les performances. M�me sur un ordinateur portable correct (mon Framework 13 avec AMD Ryzen 5), j'ai remarqu� beaucoup d'interactions lentes (saisie, clics) dues au re-rendu de React. Cela a n�cessit� de nombreux �changes avec l'agent, des copier-coller � partir de l'onglet Performance de Chrome DevTools et de React DevTools Profiler, pour lui faire comprendre le probl�me et le r�soudre avec la m�morisation et les composants imbriqu�s.

� un moment donn�, j'ai r�alis� que je devais simplement activer le compilateur React, ce qui a peut-�tre aid�, mais n'a pas compl�tement r�solu le probl�me. Je suis franchement surpris de voir � quel point React est mauvais dans ce cas d'utilisation, car beaucoup de gens semblent convaincus que la guerre des frameworks est termin�e, les LLM �tant si � bons � pour �crire du React. La prochaine fois que j'essaierai cela, j'utiliserai peut-�tre un framework comme Svelte ou Solid, qui int�gre une r�activit� fine et ne n�cessite pas beaucoup d'optimisations manuelles pour ce genre de choses.

� part cela, je n'ai pas rencontr� de probl�mes majeurs qui ne pouvaient �tre r�solus avec les bonnes instructions. Par exemple, pour ajouter des fonctionnalit�s PWA, il suffisait de dire au LLM : � Cr�e une ic�ne qui ressemble � un avion, g�n�re les tailles PNG appropri�es, voici les documents MDN sur les manifestes PWA. � J'ai d� copier-coller certains messages d'erreur provenant des outils de d�veloppement Chrome (ce qui m'a oblig� � savoir o� chercher dans l'onglet Application), mais cela s'est rapidement r�solu. J'ai r�ussi � g�n�rer un CSP de la m�me mani�re.

Le seul autre probl�me g�nant �tait les limites de jetons. C'est quelque chose dont je n'ai pas � m'occuper au travail, et j'ai �t� surpris de la rapidit� avec laquelle j'ai atteint ces limites en utilisant Claude dans le cadre d'un projet parall�le. Cela m'a donn� envie d'�viter le � mode plan �, m�me lorsque cela aurait �t� le meilleur choix, et j'ai souvent d� mettre Claude de c�t� et attendre que ma limite soit � r�initialis�e �.

Le laid

Le plus d�plaisant dans tout cela est bien s�r la d�valorisation de la profession, ainsi que tous les autres inconv�nients des LLM et de l'IA g�n�rative qui ont �t� largement document�s ailleurs. Ma contribution � ce d�bat consiste simplement � documenter ce que je ressens, � savoir que je suis quelque peu horrifi� par la facilit� avec laquelle cet outil peut reproduire ce qui m'a pris une vingtaine d'ann�es � apprendre, mais je suis aussi quelque peu enthousiaste car il n'a jamais �t� aussi facile de bricoler rapidement des POC ou des applications l�g�res pour les loisirs.

Apr�s quelques articles sur ce sujet, j'ai d�cid� que mon r�le n'�tait pas d'essayer de r�sister � l'assaut �crasant de cette technologie, mais plut�t d'observer et de documenter la fa�on dont elle bouleverse ma vision du monde et mon coin de l'industrie. Bien s�r, certains me qualifieront de collaborateur, mais je pense que ces voix sont de plus en plus marginalis�es par une industrie qui vient de normaliser l'utilisation de l'IA g�n�rative pour �crire du code.

Quand j'observe certains de mes jeunes coll�gues travailler, je suis stup�fait de voir � quel point leur comportement est � natif de l'IA �. Cela impr�gne des aspects de leur travail dont je me tiens encore � distance. (Par exemple, mon EDI et mon terminal sont sacr�s pour moi : j'aime Claude Code dans sa petite bo�te, pas dans un terminal Warp ou sous forme de compl�tions EDI en ligne).

Conclusion

Pour moi, le plus int�ressant dans toute cette exp�rience, c'est que la cr�ation de cette application amateur a �vit� � ma femme d'avoir � essayer des services tiers comme TripIt ou Wanderlog. Elle a essay� ces applications, mais a imm�diatement �t� frustr�e par les bugs, les fonctionnalit�s manquantes et la surabondance de publicit�s. En revanche, l'application que j'ai cr��e fonctionne exactement selon ses sp�cifications � et si quelque chose ne lui pla�t pas, je peux int�grer ses commentaires dans Claude Code et le faire corriger.

Ma femme est une utilisatrice exp�riment�e et elle a pass� beaucoup de temps � �crire des e-mails aux services d'assistance � la client�le de diverses applications, o� elle re�oit in�vitablement une r�ponse du type � vos commentaires sont tr�s importants pour nous �, suivie d'un silence total. Elle a essay� de nombreuses applications de productivit�/t�ches/planification, et elle trouve toujours des bugs r�dhibitoires (comme des fuites de m�moire, des erreurs de copier/coller, etc.), ce que j'attribue au fait que notre secteur ne prend pas la qualit� tr�s au s�rieux. En revanche, s'il y a un bug dans cette application, le code source est tr�s petit, elle a fait l'objet de tests unitaires/de bout en bout approfondis, et Claude n'a donc pas beaucoup de mal � corriger les petits bugs qui nuisent � la qualit� de vie.

Je ne dis pas que cela sonne le glas des petites applications de prise de notes ou autres, mais je pense vraiment que les applications de loisirs cod�es par vibe pr�sentent certains avantages dans ce domaine. Elles n'ont pas besoin d'ajouter 1 000 fonctionnalit�s pour satisfaire 1 000 utilisateurs diff�rents (avec tous les bugs qui d�coulent in�vitablement de l'explosion combinatoire des fonctionnalit�s) : elles doivent simplement rendre une seule personne heureuse. Je continue de penser que l'interface utilisateur g�n�rative est un peu ridicule, car la plupart des utilisateurs ne veulent pas attendre plusieurs secondes (voire plusieurs minutes) pour que leur interface utilisateur soit construite, mais cela fonctionne bien dans ce cas pr�cis (o� votre mari est un programmeur professionnel qui dispose de temps libre pendant les vacances).

Dans le cadre de mon travail quotidien, je n'ai pas l'intention de tout faire en � vibe coding � (dans le sens o� je ne regarde pratiquement pas le code) � c'est tout simplement trop risqu� et irresponsable � mon avis. Lorsque le code est complexe, que vos coll�gues doivent le comprendre et que vous avez des clients qui vous paient, la barre est beaucoup plus haute. Mais le vibe coding est certainement utile pour les projets amateurs ou jetables.

Pour le meilleur ou pour le pire, la valeur du code lui-m�me semble chuter de fa�on spectaculaire, pour �tre remplac�e par des mesures telles que la capacit� d'un LLM � comprendre la base de code (CLAUDE.md, AGENTS.md) ou la facilit� avec laquelle il peut tester ses � corrections � (tests unitaires/d'int�gration). Je n'ai aucune id�e de ce � quoi ressemblera le codage l'ann�e prochaine, mais je sais comment ma femme planifiera nos prochaines vacances.

Source : "An experiment in vibe coding"

Et vous ?

:fleche: Pensez-vous que cette exp�rience est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Tout le monde parle de vibe coding : guide pour g�n�rer rapidement une application avec les mod�les d'instructions g�n�ratives exacts, par Jay Gordon

:fleche: Le Vibe Coding cr�e des codeurs sans cervelle, par Namanyay Goel

:fleche: Si vous �tes dou� pour la r�vision de code, vous serez dou� pour utiliser les agents IA, par Sean Goedecke

:fleche: Pourquoi le � Vibe Coding � me donne envie de vomir, par Kush Creates

Images attach�es

La version 18.7 de GitLab apporte ajoute de nouvelles fonctionnalit�s d'automatisation

Jade Emy — Tue, 23 Dec 2025 12:08:01 GMT

La forge logicielle GitLab 18.7 propose de nouvelles automatisations, des contr�les de pipeline et des mises � jour de politiques pour aider les �quipes � r�duire le travail manuel et simplifier les processus

GitLab 18.7 est d�sormais disponible, avec des v�rifications de validit� secr�tes g�n�ralement disponibles, des int�grations �tendues pour Google Cloud, AWS et Postman, ainsi qu'un filtrage am�lior� des rapports et un d�ploiement d'API au niveau du groupe. Cette version ajoute la d�tection des faux positifs SAST aliment�e par l'IA en version b�ta gratuite pour les clients Ultimate, ce qui rationalise le triage des vuln�rabilit�s en identifiant automatiquement les faux positifs potentiels. Les analyses am�lior�es dans le tableau de bord des tendances GitLab Duo et SDLC permettent d�sormais de suivre l'adoption des fonctionnalit�s, la g�n�ration de code et les performances du pipeline

GitLab est un logiciel libre de forge bas� sur git proposant les fonctionnalit�s de wiki, un syst�me de suivi des bugs, l�int�gration continue et la livraison continue. D�velopp� par GitLab Inc et cr�� par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilis� par plusieurs grandes entreprises informatiques, dont IBM, Sony, le centre de recherche de J�lich, la NASA, Alibaba, Oracle, Invincea, O�Reilly Media, Leibniz Rechenzentrum, le CERN, European XFEL, la GNOME Foundation, KDE, Boeing, Autodata, SpaceX, Symbio et Altares.

GitLab 18.7 est d�sormais disponible, avec des v�rifications de validit� secr�tes g�n�ralement disponibles, des int�grations �tendues pour Google Cloud, AWS et Postman, ainsi qu'un filtrage am�lior� des rapports et un d�ploiement d'API au niveau du groupe. Cette version ajoute la d�tection des faux positifs SAST aliment�e par l'IA en version b�ta gratuite pour les clients Ultimate, ce qui rationalise le triage des vuln�rabilit�s en identifiant automatiquement les faux positifs potentiels.

Les analyses am�lior�es dans le tableau de bord des tendances GitLab Duo et SDLC permettent d�sormais de suivre l'adoption des fonctionnalit�s, la g�n�ration de code et les performances du pipeline. De plus, un nouveau point de terminaison prend en charge l'extraction des donn�es d'utilisation de l'IA au niveau des instances.

Voici un extrait de l'annonce :

Citation:

GitLab 18.7 offre des fonctionnalit�s de d�veloppement, d'exploitation et de s�curit� qui renforcent le contr�le, am�liorent la coh�rence et renforcent la confiance � mesure que les �quipes int�grent davantage l'IA dans leurs workflows. Ces am�liorations interviennent alors que GitLab s'appr�te � franchir une �tape importante. La plateforme GitLab Duo Agent sera disponible au grand public en janvier 2026 avec notre version 18.8, � condition que nous continuions � respecter les normes de qualit� exceptionnellement �lev�es que nous nous sommes fix�es pour servir nos clients du monde entier, tous secteurs confondus.

La mise � disposition g�n�rale de la plateforme GitLab Duo Agent vise � offrir aux organisations un moyen unifi� et contr�l� d'orchestrer l'IA agentielle tout au long du cycle de vie de leurs logiciels. Gr�ce � la collaboration entre les agents fondamentaux, les agents personnalis�s et les flux automatis�s au sein de GitLab, les �quipes pourront adopter des workflows bas�s sur l'agent qui contribuent � acc�l�rer le travail tout en restant conformes aux normes organisationnelles. Lors de la disponibilit� g�n�rale, nous pr�voyons �galement d'inclure des fonctionnalit�s �tendues du catalogue d'IA, des contr�les administratifs plus stricts, des am�liorations en mati�re de fiabilit� et un mod�le de facturation flexible bas� sur l'utilisation, con�u pour offrir une grande souplesse dans l'utilisation de l'IA agentielle pour de nombreux r�les et projets.

La version 18.7 ajoute des �l�ments importants pour soutenir la prochaine mise en service de la plateforme GitLab Duo Agent. De nouvelles fonctionnalit�s d'automatisation, des contr�les de gouvernance renforc�s et des am�liorations en mati�re de s�curit� et de cr�ation de pipelines aident les �quipes � rationaliser leur travail et � jeter les bases d'une exp�rience agentique encore plus fiable dans la version 18.8 et au-del�.

Voici les nouveaut�s de la version 18.7 :

Plateforme GitLab Duo Agent

Alors que de plus en plus d'�quipes int�grent l'IA dans leurs workflows de d�veloppement et de s�curit�, GitLab continue de se concentrer sur la mise en place d'une adoption puissante et pr�visible. Les mises � jour de la version 18.7 renforcent les bases d'une exp�rience IA guid�e et contr�l�e qui se concr�tisera pleinement lorsque plateforme GitLab Duo Agent atteindra sa version GA pour la version 18.8.

Flux personnalis�s

Les flux personnalis�s offrent aux �quipes une nouvelle fa�on d'automatiser les workflows en plusieurs �tapes � l'aide de s�quences d�finies en YAML qui orchestrent les agents pour accomplir des t�ches de d�veloppement r�p�titives. Les flux personnalis�s permettent d'�liminer les efforts manuels pour les sc�narios qui suivent des mod�les pr�visibles, tels que le diagnostic et la correction des pipelines d�faillants, la mise � jour des d�pendances ou l'ex�cution de v�rifications de politiques lorsque des r�viseurs sont assign�s. Au lieu de g�rer ces t�ches de mani�re interactive, les �quipes peuvent d�finir des flux qui se d�clenchent automatiquement � partir d'�v�nements GitLab tels que les mentions et les assignations. Cette fonctionnalit� aide les d�veloppeurs qui souhaitent des automatisations sur mesure pour leurs propres projets, ainsi que les administrateurs qui ont besoin de workflows coh�rents � l'�chelle de l'organisation pour garantir la conformit� et l'efficacit� op�rationnelle.

Flux de d�tection des faux positifs SAST

La gestion des faux positifs bas�e sur l'IA pour les tests de s�curit� statiques des applications (SAST) permet aux �quipes d'�valuer et de traiter les faux positifs potentiels de mani�re plus rapide et plus pr�cise. GitLab utilise d�sormais l'IA pour aider � identifier les r�sultats susceptibles d'�tre des faux positifs d�s le d�but du processus d'examen, ce qui r�duit le temps que les d�veloppeurs et les �quipes de s�curit� consacrent au triage des informations parasites. Les utilisateurs peuvent voir un aper�u du nombre de vuln�rabilit�s pouvant n�cessiter un examen, suivre la progression de leur analyse et rejeter les faux positifs directement � partir du rapport de vuln�rabilit�. Une fois rejet�s, ces r�sultats restent rejet�s dans les pipelines futurs et continuent de refl�ter le statut correct de rejet dans les widgets de demande de fusion. Cela permet d'obtenir un signal coh�rent et fiable � mesure que le code �volue et aide les �quipes � se concentrer sur les risques r�els, � rationaliser les corrections et � r�duire les cycles de r�vision de s�curit� inutiles.

Gestion des versions des agents personnalis�s

La gestion des versions des agents personnalis�s permet aux �quipes de contr�ler la version d'un agent ou d'un flux AI Catalog qu'elles utilisent dans leurs projets. Au lieu d'h�riter automatiquement des mises � jour du cr�ateur, GitLab associe d�sormais chaque projet � la version exacte de l'agent et du flux activ�s pour l'�quipe. Cela permet d'�viter les changements radicaux, les risques de s�curit� et les perturbations du flux de travail, en particulier dans les pipelines de production ou les environnements sensibles en mati�re de s�curit�. Les �quipes peuvent effectuer la mise � niveau quand elles le souhaitent, tester les nouvelles versions en phase de pr�paration avant de les promouvoir et voir clairement quelle version est en cours d'ex�cution afin d'�viter toute confusion. Cela permet �galement une personnalisation plus s�re en laissant les utilisateurs cr�er une fourche d'un agent � une version sp�cifique et le faire �voluer de mani�re ind�pendante. Il en r�sulte un moyen plus pr�visible, plus stable et plus s�r d'adopter des agents personnalis�s dans les flux de travail de d�veloppement et de CI/CD.

Nouveaux param�tres pour les agents fondamentaux

Les administrateurs ont d�sormais la possibilit� d'activer ou de d�sactiver les agents fondamentaux, ce qui permet aux �quipes de mieux contr�ler l'utilisation de l'IA au sein de leur organisation. Gr�ce � cette mise � jour, les administrateurs peuvent activer ou d�sactiver ces agents au niveau de l'instance ou du groupe, choisir la disponibilit� par d�faut et contr�ler la mani�re dont les nouveaux agents sont introduits tout en continuant � fournir l'acc�s � l'agent principal. Il en r�sulte une adoption plus flexible de l'IA, avec la gouvernance, la coh�rence et le contr�le dont les �quipes d'entreprise ont besoin.

Agent d'analyse de donn�es

L'agent d'analyse de donn�es offre aux �quipes un moyen simple d'explorer les donn�es GitLab � l'aide du langage naturel, en g�n�rant automatiquement des requ�tes GLQL (GitLab Query Language), en r�cup�rant les informations pertinentes et en pr�sentant des informations claires sans avoir besoin de tableaux de bord ou de r�diger manuellement des requ�tes. Les utilisateurs peuvent analyser le volume de travail, comprendre l'activit� de l'�quipe, identifier les tendances de d�veloppement, surveiller l'�tat des tickets et des demandes de fusion, et d�couvrir rapidement les �l�ments de travail par �tiquettes, auteurs, jalons ou autres crit�res. Il cr�e �galement des requ�tes GLQL r�utilisables qui peuvent �tre int�gr�es partout o� GitLab Flavored Markdown est pris en charge, ce qui facilite le partage des r�sultats et la r�ponse aux questions quotidiennes sur l'activit� du projet directement dans GitLab.

DevOps de base

Les innovations apport�es par la plateforme GitLab Duo Agent sont particuli�rement efficaces lorsque l'exp�rience DevOps sous-jacente est tout aussi rationalis�e et fiable. Les am�liorations apport�es dans la version 18.7 aux workflows GitLab de base garantissent que l'automatisation, les pipelines et les composants r�utilisables fonctionnent avec un niveau maximal de clart� et de coh�rence.

S�lection dynamique des entr�es dans les pipelines GitLab

La s�lection dynamique des entr�es dans les pipelines GitLab introduit une mani�re plus intuitive de d�clencher les pipelines gr�ce � des champs d�roulants dynamiques en cascade dans l'interface utilisateur GitLab. Cela permet aux �quipes interfonctionnelles d'ex�cuter des pipelines sans modifier le YAML ni d�pendre des d�veloppeurs, tout en garantissant que seules les options valides et adapt�es au contexte s'affichent lorsqu'elles effectuent leurs s�lections. Cette fonctionnalit� prend en charge les workflows complexes, contribue � r�duire les ex�cutions mal configur�es et supprime un obstacle majeur pour les �quipes qui migrent depuis Jenkins Active Choice, aidant ainsi les organisations � standardiser enti�rement leurs processus CI/CD sur GitLab.

Catalogue CI/CD Publication Guardrails

Les administrateurs de GitLab Self-Managed et GitLab Dedicated peuvent d�sormais contr�ler quels projets sont autoris�s � publier des composants dans le catalogue CI/CD. Ce nouveau param�tre aide les organisations � maintenir un �cosyst�me organis� et fiable en garantissant que seules les sources approuv�es peuvent ajouter des composants. Il renforce la gouvernance pour les entreprises qui souhaitent conserver le contr�le de leur environnement CI/CD tout en permettant aux �quipes de d�couvrir et de r�utiliser des composants approuv�s.

S�curit� de la plateforme

� mesure que l'automatisation et les workflows de pipeline gagnent en efficacit�, il reste essentiel que les �quipes conservent une visibilit� et un contr�le solides sur la mani�re dont les modifications du code r�pondent aux normes organisationnelles. La mise � jour de la s�curit� de la plateforme dans la version 18.7 renforce cet �quilibre en offrant aux �quipes un moyen plus flexible d'introduire et d'affiner les directives politiques sans interrompre la livraison.

Mode d'avertissement pour les politiques d'approbation MR

Le mode d'avertissement pour les politiques d'approbation MR permet de signaler les violations sans bloquer les fusions, ce qui offre aux �quipes un moyen plus fluide d'introduire ou d'ajuster les politiques tout en �valuant leur impact avant leur application compl�te. Il prend �galement en charge une approche bas�e sur des directives, dans laquelle les d�veloppeurs peuvent examiner ou rejeter les violations, toutes les actions �tant audit�es afin d'aider AppSec � affiner l'efficacit� des politiques. Au-del� des demandes de fusion, les violations d�j� pr�sentes ou introduites dans la branche par d�faut apparaissent d�sormais avec un badge visuel dans le rapport de vuln�rabilit�, ce qui facilite l'identification et la hi�rarchisation des probl�mes qui enfreignent la politique.

Am�liorer la mani�re dont les �quipes cr�ent, s�curisent et livrent des logiciels

La version 18.7 vise � renforcer les bases d'une automatisation fiable et flexible dans votre environnement GitLab.

La plateforme GitLab Duo Agent est actuellement en version b�ta. Activez les fonctionnalit�s b�ta et exp�rimentales pour d�couvrir comment l'IA en contexte complet peut transformer la fa�on dont vos �quipes d�veloppent des logiciels. Vous d�couvrez GitLab ? Commencez votre essai gratuit et d�couvrez pourquoi l'avenir du d�veloppement est bas� sur l'IA, s�curis� et orchestr� par la plateforme DevSecOps la plus compl�te au monde.

Source : � propos de Gitlab

Et vous ?

:fleche: Pensez-vous que cette version est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: GitLab 18.6, la plateforme d'h�bergement de code et de DevOps, est disponible avec une interface utilisateur repens�e, une recherche de code pr�cise, de nouvelles fonctionnalit�s CI/CD et bien plus encore

:fleche: GitLab affirme que l'utilisation de l'IA pour le codage informatique est "in�luctable" et que cela va perdurer, mais l'int�gration de l'IA dans le g�nie logiciel introduit de nouveaux risques

:fleche: On ne peut pas faire confiance aux assistants IA pour produire du code s�r : l'assistant IA de GitLab a expos� les d�veloppeurs � l'injection d'une invite qui permet de voler le code source

Images attach�es

Comment de bons ing�nieurs �crivent du mauvais code dans les grandes entreprises, par Sean Goedecke

Sean Goedecke — Thu, 18 Dec 2025 14:37:25 GMT

Comment de bons ing�nieurs �crivent du mauvais code dans les grandes entreprises, par Sean Goedecke

Tous les deux ou trois ans, quelqu'un remarque que les grandes entreprises technologiques produisent parfois du code �tonnamment b�cl�. Si vous n'avez jamais travaill� dans une grande entreprise, il peut �tre difficile de comprendre comment cela se produit. Les grandes entreprises technologiques paient suffisamment bien pour attirer de nombreux ing�nieurs comp�tents. Elles �voluent suffisamment lentement pour donner l'impression qu'elles peuvent prendre leur temps et faire un travail solide. Comment se fait-il que le code soit mauvais ?

La plupart des modifications du code sont effectu�es par des d�butants

Je pense que la raison principale est que les grandes entreprises regorgent d'ing�nieurs qui travaillent en dehors de leur domaine d'expertise. En moyenne, les employ�s des grandes entreprises technologiques ne restent qu'un an ou deux. En fait, les r�mun�rations des grandes entreprises technologiques sont g�n�ralement con�ues pour limiter � quatre ans la dur�e d'emploi des ing�nieurs : apr�s quatre ans, l'attribution initiale d'actions est enti�rement acquise, ce qui entra�ne une baisse de salaire pouvant atteindre 50 % pour les ing�nieurs. Les entreprises prolongent certes temporairement les renouvellements annuels, mais cela incite �videmment les ing�nieurs � chercher un autre emploi o� ils n'auront pas � se demander s'ils vont toucher la seconde moiti� de leur r�mun�ration chaque ann�e.

Si l'on tient compte de la mobilit� interne, la situation est encore pire. La plus longue p�riode que j'ai pass�e dans une m�me �quipe ou sur une m�me base de code a �t� de trois ans, au d�but de ma carri�re. Je m'attends � �tre r�organis� au moins une fois par an, et souvent beaucoup plus fr�quemment.

Cependant, la dur�e moyenne d'une base de code dans une grande entreprise technologique est beaucoup plus longue que cela. Bon nombre des services sur lesquels je travaille ont plus de dix ans et ont connu de nombreux propri�taires diff�rents au fil des ans. Cela signifie que de nombreux ing�nieurs des grandes entreprises technologiques sont constamment en train de � comprendre �. Un pourcentage assez �lev� des modifications de code est effectu� par des � d�butants � : des personnes qui ont rejoint l'entreprise, la base de code ou m�me le langage de programmation au cours des six derniers mois.

Les anciens

Dans une certaine mesure, ce probl�me est att�nu� par les � anciens � : des ing�nieurs qui ont suffisamment longtemps �volu� dans l'orbite d'un syst�me particulier pour d�velopper une v�ritable expertise. Ces ing�nieurs peuvent effectuer des r�visions approfondies du code et d�tecter de mani�re fiable les probl�mes �vidents. Mais s'appuyer sur les � anciens � pose deux probl�mes.

Tout d'abord, ce processus est enti�rement informel. Les grandes entreprises technologiques font �tonnamment peu d'efforts pour d�velopper une expertise � long terme dans des syst�mes individuels, et une fois qu'elles l'ont acquise, elles semblent se soucier tr�s peu de la conserver. Souvent, les ing�nieurs en question sont mut�s vers d'autres services et doivent soit continuer � assumer leurs fonctions de � v�t�rans � sur une base volontaire, soit les abandonner et devenir des d�butants relatifs sur un tout nouveau syst�me.

Deuxi�mement, les ing�nieurs exp�riment�s sont toujours surcharg�s. �tre l'un des rares ing�nieurs � poss�der une expertise approfondie d'un service particulier est un travail tr�s prenant. Vous n'avez pas assez de temps pour examiner personnellement chaque modification logicielle ou pour participer activement � chaque processus d�cisionnel. N'oubliez pas que vous avez �galement votre propre travail � faire : si vous passez tout votre temps � examiner les modifications et � participer aux discussions, vous risquez d'�tre sanctionn� par l'entreprise pour ne pas avoir un rendement individuel suffisant.

L'ing�nieur productif m�dian

En r�sum�, � quoi ressemble l'ing�nieur productif m�dian dans une grande entreprise technologique ? Il est g�n�ralement :

- suffisamment comp�tent pour passer le cap du recrutement et �tre capable de faire le travail, mais soit

- il travaille sur un code ou un langage qui lui est largement inconnu, soit

- il essaie de rester � jour face � un flot de modifications de code tout en jonglant avec son propre travail.

Il travaille presque certainement avec une �ch�ance, ou une s�rie d'�ch�ances qui se chevauchent pour diff�rents projets. En d'autres termes, il essaie de faire de son mieux dans un environnement qui n'est pas con�u pour produire un code de qualit�.

C'est ainsi que naissent les codes � manifestement � mauvais. Par exemple, un ing�nieur junior re�oit un ticket pour un bug g�nant dans une base de code qu'il conna�t � peine. Il passe quelques jours � le comprendre et trouve une solution de fortune. L'un des � anciens � plus exp�riment�s (s'il a de la chance) y jette un coup d'�il pendant une demi-heure, le rejette et sugg�re une solution l�g�rement meilleure qui fonctionnerait au moins. Le jeune ing�nieur la met en �uvre du mieux qu'il peut, teste son fonctionnement, elle est bri�vement r�vis�e et livr�e, et toutes les personnes impliqu�es passent imm�diatement � des t�ches plus prioritaires. Cinq ans plus tard, quelqu'un remarque cela et se dit � waouh, c'est bricol� - comment un code aussi mauvais a-t-il pu �tre �crit dans une si grande entreprise de logiciels � ?

Les grandes entreprises technologiques s'en accommodent tr�s bien

J'ai beaucoup �crit sur les dynamiques internes des entreprises technologiques qui contribuent � cette situation. Plus directement, dans Seeing like a software company, j'affirme que les grandes entreprises technologiques privil�gient syst�matiquement la lisibilit� interne (la capacit� de voir d'un seul coup d'�il qui travaille sur quoi et de modifier cela � volont�) plut�t que la productivit�. Les grandes entreprises savent que traiter les ing�nieurs comme des �l�ments interchangeables et les d�placer d�truit leur capacit� � d�velopper une expertise � long terme dans une base de code unique. C'est un compromis d�lib�r�. Elles renoncent � une certaine expertise et � une certaine qualit� logicielle afin de pouvoir d�ployer rapidement des ing�nieurs qualifi�s sur le probl�me du mois.

Je ne sais pas si c'est une bonne ou une mauvaise id�e. Cela semble certainement fonctionner pour les grandes entreprises technologiques, en particulier maintenant que � la rapidit� avec laquelle vous pouvez vous orienter vers quelque chose li� � l'IA � est si importante. Mais si vous faites cela, vous allez bien s�r produire du code vraiment mauvais. C'est ce qui se passe lorsque vous demandez aux ing�nieurs de se pr�cipiter sur des syst�mes qu'ils ne connaissent pas.

Les ing�nieurs individuels sont totalement impuissants � modifier cette dynamique. Cela est particuli�rement vrai en 2025, o� l'�quilibre des pouvoirs s'est d�plac� des ing�nieurs vers les dirigeants des entreprises technologiques. Le mieux que vous puissiez faire en tant qu'ing�nieur individuel est d'essayer de devenir un � ancien � : d�velopper une expertise dans au moins un domaine et l'utiliser pour bloquer les pires changements et orienter les gens vers des d�cisions techniques au moins minimement sens�es. Mais m�me cela revient souvent � nager � contre-courant de l'organisation, et si cela est fait de mani�re inexp�riment�e, cela peut vous valoir un PIP (plan d'am�lioration des performances) ou pire encore.

Ing�nierie pure et impure

Je pense que cela tient en grande partie � la distinction entre l'ing�nierie logicielle pure et impure. Pour les ing�nieurs purs, c'est-�-dire ceux qui travaillent sur des projets techniques autonomes, comme un langage de programmation, la seule explication � un mauvais code est l'incomp�tence. Mais les ing�nieurs impurs fonctionnent davantage comme des plombiers ou des �lectriciens. Ils travaillent dans des d�lais impartis sur des projets qui sont relativement nouveaux pour eux, et m�me si leurs bases techniques sont impeccables, il y a toujours quelque chose dans la configuration particuli�re de cette situation qui est d�licat ou surprenant. Pour les ing�nieurs impurs, un mauvais code est in�vitable. Tant que le syst�me global fonctionne suffisamment bien, le projet est un succ�s.

Dans les grandes entreprises technologiques, les ing�nieurs ne peuvent pas d�cider s'ils travaillent sur des t�ches d'ing�nierie pures ou impures. Ce n'est pas leur base de code ! Si l'entreprise souhaite vous faire passer du travail sur l'infrastructure de la base de donn�es � la cr�ation d'un nouveau syst�me de paiement, elle en a tout � fait le droit. Le fait que vous puissiez commettre des erreurs dans un syst�me qui ne vous est pas familier, ou que vos anciens coll�gues de l'�quipe charg�e de l'infrastructure de la base de donn�es puissent souffrir de l'absence de votre expertise, est un compromis d�lib�r� fait par l'entreprise, et non par l'ing�nieur.

Il n'y a rien de mal � signaler des exemples de mauvais code dans les grandes entreprises. Cela peut �tre un moyen efficace de faire corriger ces exemples sp�cifiques, car les dirigeants sautent g�n�ralement sur l'occasion de transformer un mauvais PR en bon PR. Mais je pense que c'est une erreur d'attribuer la responsabilit� principale aux ing�nieurs de ces entreprises. M�me si vous pouviez agiter une baguette magique et rendre chaque ing�nieur deux fois plus performant, vous auriez toujours du mauvais code, car presque personne ne peut se lancer dans une base de code enti�rement nouvelle et y apporter rapidement des modifications sans faire la moindre erreur. La cause profonde est que la plupart des ing�nieurs des grandes entreprises sont contraints d'effectuer la majeure partie de leur travail dans des bases de code qui ne leur sont pas famili�res.

Source : "How good engineers write bad code at big companies"

Et vous ?

:fleche: Pensez-vous que ces affirmations sont cr�dibles ou pertinentes ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Lors de la conception de syst�mes logiciels, faites la chose la plus simple qui puisse fonctionner, par Sean Goedecke

:fleche: 10 commandements pour l'excellence du g�nie logiciel, par Mensur Durakovic

:fleche: D�veloppement de logiciels � long terme, par Bert Hubert

Automatisation de l'assemblage de codes sources multi-developpeurs par l'IA

soulodg — Sun, 14 Dec 2025 15:17:21 GMT

Je travaille sur un projet qui explore comment l'intelligence artificielle peut assembler et fusionner automatiquement des modules logiciels d�velopp�s par plusieurs d�veloppeurs, tout en garantissant la conformit� � une architecture de projet unifi�e.

L'objectif est de maintenir une organisation coh�rente des modules du projet tout au long du processus de d�veloppement.

� ce stade, je recherche des articles scientifiques pertinents sur ce sujet. Cependant, identifier des mots-cl�s pr�cis et appropri�s s'av�re complexe, car certains concepts en informatique peuvent avoir des significations diff�rentes en fran�ais et en anglais.
En particulier, les recherches effectu�es sur Google Scholar � l'aide de mots cl�s tels que �*assemblage de code*�, �*assemblage de code source*�, �*assemblage de code automatis�*� et �*fusion automatis�e de code multi-d�veloppeurs*� renvoient principalement des r�sultats li�s aux langages de programmation assembleur ou aux mod�les de fusion de syst�mes de contr�le de version (par exemple, GitHub et d'autres outils de gestion de code source), qui ne traitent que partiellement des aspects architecturaux et pilot�s par l'IA de ma recherche.

Je vous serais tr�s reconnaissant de toute clarification, conseil ou suggestion concernant la terminologie appropri�e ou les pistes de recherche � explorer.

Zig quitte GitHub, affirmant que l'obsession de Microsoft pour l'IA a ruin� le service

Patrick Ruiz — Fri, 28 Nov 2025 16:41:21 GMT

Le cr�ateur de Zig annonce la migration du r�f�rentiel principal du langage de GitHub vers Codeberg
Une alternative europ�enne pour ceux qui veulent se d�faire de la d�pendance aux technologies US

Ceux qui sont plong�s dans l�univers du d�veloppement de logiciels connaissent GitHub. Le service web permet de faire de la gestion et du d�veloppement collaboratif de logiciels et est consid�r� par plusieurs observateurs comme le num�ro 1 dans sa fili�re. L�on ne saurait n�anmoins faire fi de ce qu�il a suspendu les comptes de d�veloppeurs russes travaillant dans des entreprises sur la liste des sanctions du gouvernement am�ricain en repr�sailles � l�invasion russe de l�Ukraine ou encore que GitHub a, par le pass�, bloqu� des utilisateurs de Crim�e et d�Iran � cause des sanctions US. C�est dans cet ordre d�id�es que Codeberg entre dans le lot des alternatives � GitHub dont les d�veloppeurs sont en qu�te. Le cr�ateur de Zig annonce d�ailleurs la migration du r�f�rentiel principal du langage de GitHub vers Codeberg.

Le cr�ateur du langage Zig avance en premier une raison d�ordre politique comme raison de migrer de GitHub pour Codeberg : la relation liant GitHub au service d�immigration et des douanes des Etats-Unis (ICE).

Il cite en sus des motifs en lien avec les sources de financement :

� GitHub a jou� un r�le cl� dans le succ�s initial de Zig en mati�re de collecte de fonds et il repr�sente encore aujourd'hui une part importante de nos revenus. Je ne remercierai jamais assez Devon Zuegel. Elle est apparue comme un ange venu du ciel et a, � elle seule, fait de GitHub une source de revenus viable pour des milliers de d�veloppeurs. Sous sa direction, l'avenir de GitHub Sponsors semblait prometteur, mais malheureusement pour nous, elle aussi est partie vers de nouveaux horizons. Depuis son d�part, ce produit a �t� n�glig� et commence d�j� � d�cliner.

Bien que GitHub Sponsors repr�sente une part importante des revenus de la Zig Software Foundation, nous le consid�rons comme un handicap. Nous demandons humblement � nos lecteurs qui font actuellement des dons via GitHub Sponsors d'envisager de transf�rer leurs dons r�currents vers Every.org, qui est elle-m�me une organisation � but non lucratif. �

Zig is a modern & statically typed sys programming lang designed to be a simpler, safer, and more readable alternative to C. It is now moving away from Github to Codeberg for better privacy & most importantly get away from forced Copilot which Microsoft refused to turn it off pic.twitter.com/9jhK3ElFcz
— nixCraft 🐧 (@nixcraft) November 27, 2025

Codeberg a ses installations en Allemagne. C�est une forge logicielle bas�e sur Gitea. L'interface utilisateur de Codeberg est assez similaire � celle de GitHub. Cependant, l'on ne b�n�ficie pas des fonctionnalit�s avanc�es comme l'automatisation ou d'autres fonctions d'int�gration et de collaboration fournies par GitHub. Codeberg propose un simple h�bergement Git. De plus, l�initiative ne s�ouvre qu�aux projets logiciels open source ou libres. En d�autres termes, l�on ne peut s�appuyer sur Codeberg pour l�h�bergement de projets logiciels propri�taires.

Codeberg vient allonger une liste dans laquelle on retrouve des offres alternatives comme Sr.ht. Sr.ht est architectur� autour d�un serveur git, une plateforme d�int�gration continue, des gestionnaires de listes de discussions et de t�ches et un wiki ; en bref, il s�agit �galement d�une forge logicielle. � Chaque composant est une application ind�pendante qui s�int�gre profond�ment avec sr.ht et le reste de l��cosyst�me en dehors du service �, �crit Drew De Vault � l�initiateur du projet. Le lien sr.ht redirige sur la version web du service de gestion et de d�veloppement de logiciels, mais les t�tes derri�re l�outil n�ont pas oubli� les tiers int�ress�s par un autoh�bergement. � Vous pouvez l�installer sur votre propre mat�riel et des instructions d�taill�es sont disponibles pour ceux qui le souhaitent �, ajoute-t-il.

Kallithea, une alternative autoh�berg�e � GitHub, a fait surface au deuxi�me trimestre de l�ann�e 2021. C�est un syst�me de gestion de code source sous licence GPLv3 et un projet membre de la Software Freedom Conservancy. Selon sa documentation, Kallithea est un logiciel libre qui prend en charge deux syst�mes de contr�le de version de premier plan, Mercurial et Git, et poss�de une interface Web facile � utiliser pour les utilisateurs et les administrateurs. Vous pouvez installer Kallithea sur votre propre serveur et h�berger des d�p�ts pour le syst�me de contr�le de version de votre choix.

La liste d�alternatives est bien fournie

GitLab

GitLab est un logiciel de gestion de r�f�rentiel Git gratuit, open source et bas� sur le Web. Il inclut un wiki, un outil de suivi des bogues et d'autres fonctionnalit�s. Le code a �t� �crit � l'origine avec Ruby, avec certaines parties r��crites plus tard avec Golang. GitLab Community Edition (CE) est un site Web de d�veloppement logiciel open source de bout en bout avec contr�le de version int�gr�, suivi des bogues, revue de code, CI/CD (Continuous Integration/ Continuous Delivery), etc. Vous avez la possibilit� d'h�berger vous-m�me GitLab CE sur vos propres serveurs, dans un conteneur ou chez un fournisseur de services en nuage.

Gitea

Il s'agit d'un service Git autoh�berg� qui serait facile d'utilisation. Gitea est un fork communautaire du logiciel Gogs. Il s'agit d'une solution l�g�re d'h�bergement de code �crite avec Golang et publi�e sous la licence MIT. Il fonctionne sur Windows, macOS, Linux, ARM et plus encore, cela sur des architectures comme amd64, i386, ARM, PowerPC et autres.

Source : Ziglang

Et vous ?

:fleche: Sur quelle plateforme d�h�bergement et de gestion de d�veloppements de logiciels votre entreprise s�appuie-t-elle ? Pour quelles raisons ?
:fleche: Que pensez-vous de cette multiplicit� de plateformes d�h�bergement et de gestion de d�veloppements logiciels ? Bonne ou mauvaise chose pour la sph�re de l�open source ?
:fleche: Quelles sont les caract�ristiques que devrait r�unir le service d'h�bergement et de gestion de d�veloppements logiciels id�al selon vous ?

Voir aussi :

:fleche: Sur quelle plateforme d'h�bergement et de gestion de d�veloppements logiciels voyez-vous votre futur : GitHub, GitLab, SourceForge ? Pourquoi ?

:fleche: Rachat de GitHub par Microsoft : la fondation Linux livre son analyse de la situation et affirme avoir � h�te de voir les am�liorations � sur GitHub

:fleche: Nat Friedman, le futur CEO de GitHub r�pond aux questions des d�veloppeurs sur l'avenir de la plateforme apr�s le rachat par Microsoft

:fleche: Rachat de GitHub. Pourquoi ce rachat, et quels sont les plans de Microsoft

Images attach�es