Je traine beaucoup sur Github et l’une de mes tâches consiste à y trouver des outils cool que je partage avec vous directement ici ou avec les gens qui me soutiennent via Patreon. Je dois donc vérifier que le projet est sérieux, qu’il est maintenu et qu’on peut faire confiance au code qui s’y trouve.

Seulement voilà, je ne suis pas tout le temps là, avec vous, à regarder les mêmes projets. Alors, comment faire pour évaluer le sérieux d’un projet open source disponible sur Github ?

Et bien grâce à l’outil Scoreboard qui permet d’automatiser l’analyse et faciliter la prise de décision, particulièrement sur l’aspect sécurité des projets Github.

À partir d’une URL de dépôt ou du nom d’un package, Scoreboard contrôle les points suivants :

• Le projet a-t-il reçu des commits au cours des 90 derniers jours ?
• Le projet utilise-t-il des outils pour mettre à jour automatiquement ses dépendances ?
• Le projet est-il exempt de binaires check-in ?
• Le projet utilise-t-il la protection des branches ?
• Le projet exécute-t-il des tests dans CI, par exemple GitHub Actions, Prow ?
• Le projet dispose-t-il d’un badge des meilleures pratiques de l’IIC ?
• Le projet exige-t-il une revue de code avant que le code ne soit fusionné ?
• Le projet compte-t-il des contributeurs d’au moins deux organisations différentes ?
• Le projet utilise-t-il des outils de fuzzing, par exemple OSS-Fuzz ?
• Le projet déclare-t-il et gèle-t-il les dépendances ?
• Le projet construit-il et publie-t-il des paquets officiels à partir de CI/CD, par exemple GitHub Publishing ?
• Le projet utilise-t-il les Pull Requests pour tous les changements de code ?
• Le projet utilise-t-il des outils d’analyse statique du code, par exemple CodeQL, SonarCloud ?
• Le projet contient-il une politique de sécurité ?
• Le projet signe-t-il les versions de manière cryptographique ?
• Le projet signe-t-il de manière cryptographique les balises des versions ?
• Le projet déclare-t-il les jetons de workflow GitHub en lecture seule ?
• Le projet présente-t-il des vulnérabilités non corrigées ?

Pas mal de questions à se poser pour évaluer si le code présent sur Github est suffisamment sûr pour être utilisé dans le cadre de votre projet.

Évidemment, cela ne fait pas tout, mais c’est une bonne étape préliminaire avant d’engager des frais pour faire auditer le code par exemple.

Pour que l’outil Scoreboard fonctionne correctement, vous devrez créer une clé personnelle chez Github, puis l’exporter comme ceci :

export GITHUB_AUTH_TOKEN=<VOTRE_CLÉ>

Lancez ensuite la commande comme ceci pour évaluer un dépôt en particulier (ici le dépôt de youtube-dl pour l’exemple) :

./scorecard --repo https://github.com/ytdl-org/youtube-dl

Après plusieurs secondes, vous obtiendrez alors un rapport de l’état du projet.

Si vous voulez plus de détails, utilisez le paramètre –show-details comme ceci :

./scorecard --repo https://github.com/ytdl-org/youtube-dl --show-details

J’ai testé le dépôt de scoreboard avec scoreboard est le résultat n’est pas loin de la perfection. 😉

Pour plus d’infos, je vous invite à consulter la page du projet ainsi que sa documentation ici.

Vous êtes développeur, vous bossez en équipe et vous cherchez un client MySQL moderne qui vous permettra de plonger dans vos bases PostgreSQL et MySQL sans douleur ?

Alors ne cherchez plus, j’ai ce qu’il vous faut. Il s’agit d’un logiciel pour mac, Windows et Linux qui s’appelle Arctype et qui une fois installé vous permettra de vous connecter à votre base de données préférée.

Ensuite vous pourrez créer et éditer des tables via l’interface graphique puis créer et lancer des requêtes SQL. Comme l’outil est conçu pour tous ceux qui écrivent du code SQL tous les jours, il est hyper pratique à utiliser et très performant.

Comme on est rarement seul à passer des requêtes SQL, Arctype vous permettra également de partager vos requêtes avec le reste de votre équipe, en gérant bien évidemment les permissions de chacun. Chaque requête créée est également versionnée, ce qui permet d’assurer un suivi dans l’écriture de celle-ci.

Bref, c’est super pratique et les outils de visualisation sont top ! Vous pourrez donc construire vos requêtes et les lancer très facilement, mais surtout concevoir des tableaux de bord et des graphiques pour visualiser vos données et partager tout ça avec votre équipe.

Un outil vraiment très cool pour tous ceux qui en ont marre des clients MySQL à la pépé au look des années 80. (vive les années 80, cela dit…)

Amusez-vous bien !

Protonmail, vous connaissez forcement puisqu’il s’agit de la messagerie email chiffrée de bout en bout dont d’autres et moi-même vous parlons tout le temps. C’est un excellent service né au CERN en suisse qui depuis son démarrage officiel en 2015 assure la confidentialité de vos communications avec une bonne couche de chiffrement. Il est très utilisé par les lanceurs d’alerte et les journalistes qui veulent protéger leur vie privée et leurs sources.

Toutefois connaissez-vous ProtonVPN ?

Lancé en 2017 par la même équipe que ProtonMail, ce VPN affirme ne conserver aucun log de connexion et dispose de quelques killer features sous le capot vous permettant de préserver votre anonymat en ligne.

Tout d’abord ProtonVPN utilise des algorithmes de chiffrement de type PFS (Perfect Forward Secrecy) ce qui empêche le trafic réseau chiffré d’être capturé pour ensuite être déchiffré a posteriori, et cela même si par malheur la clé de chiffrement était compromise, car chaque session possède sa propre clé de chiffrement et chacune de ces clés est éphémère.

Comme ProtonVPN dispose de beaucoup de serveur de par le monde, on peut imaginer qu’un jour l’un de ces serveurs soit « espionné » par une puissance étrangère. Mais ProtonVPN a pensé à tout puisqu’ils routent en premier lieu tout votre trafic réseau via ses serveurs (Secure Core) situés dans des pays respectueux de la vie privée comme la Suisse, la Suède et l’Islande, ce qui permet de masquer votre véritable adresse IP.

Petite parenthèse, j’ai toujours trouvé ça triste que la France ne soit pas l’un de ces pays.

Enfin, cerise sur le gâteau, ProtonVPN peut fonctionner au travers de Tor, c’est à dire que vous aurez accès sans aucun problème aux sites en .onion.

Voilà, après pour le reste, c’est du VPN tout ce qu’il y a de plus classique. Mais ça va vous intéresser puisqu’il propose un accès gratuit, certes limité, mais qui pourra bien vous aider.

Ainsi avec l’offre à 0 $ vous pourrez surfer au travers de 17 serveurs répartis dans 3 pays, sur un seul appareil, et à une vitesse un poil réduite par rapport à ceux qui prennent le forfait payant.

Et comme dit l’autre : « Si c’est gratuit, c’est toi… » ah, non oubliez… Là si c’est gratuit c’est tout simplement parce que les abonnés payants sont suffisamment nombreux pour auto-financer les usages gratuits et que la team derrière protonmail / protonVPN a des valeurs et des convictions et pense qu’il est important que chacun puisse avoir accès à un VPN pour garantir sa vie privée sans condition.

Grâce aux personnes qui me soutiennent, je peux maintenant faire régulièrement des vidéos sympas sur tout un tas de sujets tech. Et au bout d’un long moment, je « libère » ces vidéos pour tout le monde.

Voici donc l’une de ces vidéo, où je vous explique l’intérêt d’auto-héberger chez soi un nœud Bitcoin surtout si vous tenez à votre vie privée ou si vous voulez faire de la vente en ligne avec paiement en cryptomonnaie. Mais également comment mettre ce Bitcoin Node en place et le gérer vous-même facilement.

Pour cela, nous allons utiliser Umbrel. Donc voici une vidéo tuto qui vous explique comment installer Umbrel sur un Raspberry Pi.

Évidemment, le Patreon regorge d’autres avantages qui j’en suis sûr vous intéresseront. Mais chut, rien de lancé officiellement encore.

Become a Patron!<script async src="https://c6.patreon.com/becomePatronButton.bundle.js">

A très vite !

Vous commencez à claquer des doigts, à dodeliner de la tête et à fredonner une espèce de soupe musicale informe en écoutant un morceau sur une vieille compil… Mais oups, impossible de vous souvenir de ce que c’est. Ou alors vous entendez un son qui vous plaît bien dans une vidéo YouTube de seconde zone et malheureusement, aucune information sur le titre dans la description de la vidéo. Snif.

Amis linuxiens, vous ne resterez plus à l’écart des autres culturellement parlant ! Car à l’aide de Music Radar, vous pourrez enfin étendre vos connaissances musicales.

Avec cet outil libre, vous pourrez ainsi identifier le titre, l’artiste, l’album de n’importe quel son et même afficher sa pochette. Pour ce faire, installez music radar à l’aide de snap comme ceci :

snap install music-radar

Pour les galériens sous Linux Mint, allez lire ça avant.

Ensuite, lancez l’enregistrement du son à partir de ce que vous jouez sur votre PC ou directement en entrée depuis le micro et taaadaaaa ! Vous obtiendrez forcément un résultat sauf si vous écoutez de la musique cheloue ultra confidentielle plus pour vous la raconter que pour bouger votre popotin des fesses.

Vous aurez ainsi toutes les infos sur le morceau en question ainsi qu’un lien Spotify et YouTube pour aller écouter ça plus sérieusement.

Plus de détails sur Music Radar ici.