Nouvelles, articles, podcasts, vidéos et découvertes intéressantes du mois de décembre 2022.
Nouvelles
- Tableau de bord des téléchargements vulnérables de Log4j — un an après Log4Shell, l’utilisation de versions vulnérables de Log4j reste très élevée (~25 %). Ça ne veut pas dire qu’un quart des applications utilisant Log4j sont vulnérables, mais le chiffre reste étonnant !
- GitLab 15.7 released introducing the GitLab CLI and with browser based DAST GA
— c’est au tour de GitLab de proposer une CLI officielle :
glab
. Comme celle de GitHub, ça peut rendre certaines actions plus simples (comme le checkout d’une merge request provenant d’un dépôt forké), et c’est pratique pour du scripting. Il y a aussi pas mal d’autres choses sympas, comme l’amélioration de la recherche globale (qui en avait bien besoin !), la possibilité de spécifier la taille d’une image en Markdown ou la version bêta du nouvel IDE Web basé sur VS Code. - Leaked a secret? Check your GitHub alerts…for free — bonne nouvelle, même si je croyais que c’était déjà le cas. Attention cette fonctionnalité doit être activée manuellement pour chaque projet (cherchez Code security and analysis > Secret scanning dans les paramètres).
- Docs are being translated to French, German, Korean, and Russian — la documentation de GitHub est en train d’être traduite en français. Ça doit être l’effet Microsoft :-).
- Highlights from Git 2.39
— c’est une bonne lecture si vous ne connaissez pas
git shortlog
. - SonarQube 9.8 is here! — avec le support de Java 17 et enfin une meilleure prise en charge des renommages de fichiers.
- GraalVM, Galahad, and a New Release Schedule — des détails sur Galahad, le projet d’intégration de certaines parties de GraalVM à OpenJDK.
Articles, podcasts et vidéos
- Signing Git Commits with Your SSH Key — je ne savais même pas que c’était possible ! Et c’est supporté par GitHub et, depuis la version 15.7, par GitLab.
- Gently Down the Stream, A walk to the Cloud — des introductions à Apache Kafka et au Cloud sous forme de bande dessinée. C’est très agréable à lire.
- 7 Awesome Libraries for Java Unit & Integration Testing (vidéo) — une présentation succincte de sept super librairies Java pour les tests : AssertJ, Awaitility, Mockito, Wiremock, Wiser, Memoryfilesystem et Testcontainers. À regarder si vous ne les connaissez pas déjà toutes.
- The Wild World of Unique Identifiers (UUID, ULID, Snowflake, etc) — je n’en connaissais même pas la moitié !
- The best UUID type for a database Primary Key — c’est TSID d’après l’auteur (que je ne connaissais pas non plus). Et il possède bien des avantages par rapport aux UUID, notamment le fait qu’ils soient triés par heure et beaucoup plus petits.
- How to create SBOM in Java with Maven and Gradle
— un bon article sur le sujet. Il y a deux standards principaux : SPDX (Fondation Linux) et
CycloneDX (OWASP). Pour des questions d’outillage, il semble préférable de choisir CycloneDX. En
effet, le projet
spdx-maven-plugin
n’est pas très actif en comparaison decyclonedx-maven-plugin
. De plus il existe un plugin Gradle pour CycloneDX (cyclonedx-gradle-plugin
) mais pas pour SPDX. - Why the number input is the worst input — et en plus l’article n’évoque même pas les problèmes d’internationalisation.
- Define multiple languages in HTML root element’s lang attribute? — ça n’est pas malheureusement pas possible, dommage.
- Reasons to avoid Javascript CDNs — tl;dr : risque systémique, vie privée, sécurité et… vitesse de chargement !
- What I learned at GitLab that I don’t want to forget — l’organisation chez GitLab à l’air vachement sympa.
- Why Picnic Picked Java — quoiqu’on pense du choix et des arguments, ce genre de retour d’expérience est toujours intéressant à lire.
- Le RGPD en 10 minutes — un article utile pour ceux qui n’ont jamais lu le texte de la RGPD (et ne le liront peut-être jamais).
- #232 Kevin Trethewey on his extreme programming journey (podcast) — j’ai beaucoup aimé son histoire et sa façon de voir les choses. Il faudra que je creuse cette histoire de Spine Model.
- ChatGPT remplacera-t-il les programmeuses et programmeurs ? — on dirait bien que non. Par contre, à l’instar de Copilot, ça pourrait bien radicalement changer notre manière de travailler.
Découvertes
- Monkeyble — End-to-end testing framework for Ansible — enfin un framework qui permet de tester le code ansible lui-même, et non pas l’état du système après exécution d’un playbook. Une très bonne présentation en français est disponible sur LinuxFR.
- maven-test-profiler — Maven extension to get information about tests — pratique pour identifier facilement les tests qui prennent le plus de temps.
- PieterExplainsTech — Visual guides on various technology topics like computer networking and programming — une super chaîne Youtube, c’est toujours bien expliqué et on apprend souvent des choses même sur les sujets les plus basiques.
- DB-Engines Ranking — Trend Popularity — pour se faire une idée de la popularité des différents moteurs de base de données.