Suport technique et veille technologique

LinuxFr.org : les journaux  -  De l'art d'être indépendant des dépendances

 -  Janvier 2022 - 

Bonjour nal,

C'est vendredi lundi et j'avoue avoir poussé ma gueulante sur mes collègues qui ne gèrent pas leur dépendances.

Je veux dire par là : ils laissent leur gestionnaire de package tout faire pour eux en comptant sur semver qui est dans la pratique un échec (je ne retrouve plus le post que j'avais vu sur hackernews et qui expliquait au final pourquoi chrome/firefox s'en était passés et beaucoup d'autres par la suite. lien de consolation 1 et 2.)

Je suis un vieux de la vieille et je gère toujours mes dépendances à la main et par quelle magie :
1. je choisis scrupuleusement les paquets : bien codé, dépôt github vivant, documentation et pas de dépendances à d'autres paquets.
2. je met à jours ces paquets à la main : chaque nouvelle version proposée en upstream, je vérifie les commits, les issues et regarde si d'autres avant moi en ont un bon retour. Sinon je le test sur une préprod offline pour quelques-uns de mes utilisateurs.
3. je n'ajoute pas un paquet qui fait une chose tellement débile que je pourrais copier/coller ce code dans une fonction et la mettre dans un de mes helpers.

Grâce à ça on évite des usines à gaz et enculeries (terme technique de l'excellent LBDL :
- https://www.zdnet.fr/actualites/deux-modules-javascript-sabotes-par-leur-createur-39935355.htm
- https://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-389826-un-malware-trouve-dans-ua-parser-js-un-package-npm-tres-populaire.html
- la liste est encore longue…

Cette actu m'a fait réagir : je peux comprendre qu'un compte soit coupé en cas de malware mais dans ce cas-ci, le dév a modifié son code et s'est sabordé lui-même. Il fait ce qu'il veut avec son code !

Ce sont ceux qui l'utilisent qui n'ont qu'à vérifier leurs dépendances, personne ne les obligeait à la base à reprendre son code à l'aveugle. La communauté s'en rappellera et le sanctionnera autrement.

Pour un développeur (réponse intéressante du créateur de Putty) :
1. personne ne l'a obligé à déposer son code sous une des licences open source.
2. s'il veut être rémunéré sur son travail open source, il n'a qu'à monter sa boite de prestation ou ne pas avoir publié son code avant.
3. s'il se plaint que son soft est utilisé par x millions de développeurs et que personne ne le rémunère voir (2)
3. il a le droit de s'aborder son propre travail mais il ne doit pas s'attendre à un accueil chaleureux de ceux qui l'utilise.
4. s'il récupères du code open source par définition NO WARRANTY qui est, de mémoire, le terme absolument commun à toutes les licences open source. s'il veut se retourner contre qqun, il n'a qu'à choisir un contrat de maintenance avec une société.

Si quelque chose ne fonctionne pas ou est cassé, je ne vais pas me cacher derrière upstream ou l'accuser à ma place. Je suis responsable du foutu code que je mets en prod.

Commentaires : voir le flux Atom ouvrir dans le navigateur

par stopspam