Programmez

Le fil de programmez.com

  • Vim 9.2 : support de Wayland !

    Vim, un des éditeurs références du monde Linux, est disponible en version 9.2. Cette version introduit plusieurs évolutions intéressantes :

    - support expérimental de Wayland

    - affichage HiDPI

    - autocompletion étendue

    - support XDG

    - le langage de scription supporte les énums, les fonctions génériques, les types Tuple

    - nouvelles méthodes _new() et defcompile

    Note de version : https://www.vim.org/vim-9.2-released.php

    Catégorie actualité: 
    Outils
    Vim
    Image actualité AMP: 

  • DevTools : les nouveautés de Chrome 145

    Une des nouveautés les plus importantes est l'intégration Soft Navigations. L'équipe Chrome présente ainsi cette appelleration : a soft navigation est quand JavaScript intercepte une navigation (clic sur un lien) et met à jour le contenu dans la page existente, plutôt que de charger une nouvelle page et que l'URL se mette à jour dans la barre d'adresse. Pour l'utilisateur, cela change peu de choses. Dans Chrome 145, les Soft navigations sont visibles sur le panneau Performance et dans la vue des traces si le site est une SPA. 

    Un timer plus précis
    Après l'enregistrement d'une trace dans le panneau Performances, le panneau Sources affiche les temps d'exécution observés ligne par ligne. Vous pouvez ainsi identifier précisément les lignes de code qui consomment le plus de temps.Auparavant, cette fonctionnalité présentait des bogues qui la rendaient peu fiable lorsque le code source était formaté (à l'aide du bouton {}) ou lors de l'utilisation de scripts avec mappage de sources. 
    Le panneau réseau inclut maintenant une colonne dédiée Render blocking. Cela permet de voir les ressources qui bloquent le bon affichage. Autre amélioration : un meilleur debug pour @starting-style.
    Catégorie actualité: 
    Outils
    DevTools
    Image actualité AMP: 

  • Waku : un framework React minimaliste

    Waku est un framework React minimal. Il se veut le plus léger possible et supporte toutes les dernières nouveautés de React 19. Il se présente comme une alternative aux gros frameworks tels que Next.js. L'idée est que pour un projet léger, il faut un framework léger et vous utilisez directement les composants serveur sans les couches intermédiaires ou les fonctions. Il se construit sur Vite et Hono. 

    Il est possible de déployer sur node, SSG, Vercel, Netlify, Cloudfare Workers, Deno Deploy, Bun, AWS Lambda.

    Mais la documentation est déconcertante. Peu ou pas d'explications sur la nature du framework et les fonctionnalités. 

    Il est taillé pour les sites statiques avec quelques éléments dynamiques.

    Site : https://waku.gg/

    Catégorie actualité: 
    Frameworks
    React
    Image actualité AMP: 

  • PHP : des corrections de bugs disponibles

    Deux versions correctives sont disponibles : les 8.4.18 et 8.5.3. Ce sont des bug fix. Ces versions corrige 28 bugs dans le core, la timelib, le DOM, OpenSSL, etc. 

    Les principaux bugs fixés sont :

    • Fixed bug GH-20837 (NULL dereference when calling ob_start() in shutdown function triggered by bailout in php_output_lock_error()).
    • Fix OSS-Fuzz #471533782 (Infinite loop in GC destructor fiber).
    • Fix OSS-Fuzz #472563272 (Borked block_pass JMP[N]Z optimization).
    • Fixed bug GH-GH-20914 (Internal enums can be cloned and compared).
    • Fix OSS-Fuzz #474613951 (Leaked parent property default value).
    • Fixed bug GH-20766 (Use-after-free in FE_FREE with GC interaction).
    • Fix OSS-Fuzz #471486164 (Broken by-ref assignment to uninitialized hooked backing value).
    • Fix OSS-Fuzz #438780145 (Nested finally with repeated return type check may uaf).
    • Fixed bug GH-20905 (Lazy proxy bailing __clone assertion).
    • Fixed bug GH-20479 (Hooked object properties overflow).
    • Fix memory leaks when sk_X509_new_null() fails.
    • Fix crash when in openssl_x509_parse() when i2s_ASN1_INTEGER() fails.
    • Fix crash in openssl_x509_parse() when X509_NAME_oneline() fails.
    • Fixed bug #74357 (lchown fails to change ownership of symlink with ZTS) (Jakub Zelenka)
    • Fixed bug GH-20843 (var_dump() crash with nested objects) (David Carlier)

    Pour en savoir plus : https://www.php.net/index.php

    Catégorie actualité: 
    Langages
    PHP
    Image actualité AMP: 

  • Un nutriscore de la souveraineté logicielle par Dries Buytaert (Drupal)

    C'est un des débats qui secoue l'Europe : la notion de souveraineté. Mais cette notion aussi vague qu'imprécisea besoin d'une approche rigoureuse et claire. Le fondation de Drupal, Dries Buytaert, a publié un long article sur une échelle de la souveraineté logicielle, une sorte de NutriScore allant E à A. Il rappelle d'emblée un élément fondamental : la souveraineté numérique dépend moins de l'origine du logiciel que de ceux qui le contrôlent.

    « Acheter européen » devient le cri de ralliement de l'Europe pour la souveraineté numérique. La logique est simple : si vous souhaitez vous affranchir de la technologie américaine, achetez auprès d'entreprises européennes. Cependant, je pense que « Acheter européen » a raison sur un point et tort sur un autre. Il est vrai que l'Europe bénéficie d'une industrie technologique plus forte. Mais acheter européen ne garantit pas la souveraineté. La souveraineté ne se résume pas au lieu du siège social d'une entreprise ni au lieu de développement initial d'un logiciel. Elle réside dans la capacité à conserver sa liberté d'action sur la technologie dont on dépend, même si le fournisseur change de stratégie, est racheté ou disparaît.
    La question essentielle à se poser pour toute technologie est la suivante : si les conditions changent, conservez-vous la liberté de continuer à utiliser, modifier et maintenir ce logiciel ?
    L'échelle proposée mesure cette protection structurelle. Elle ne constitue pas un classement de l'ouverture et ne couvre pas toutes les dimensions de la souveraineté. Cette échelle n'implique pas non plus qu'une licence soit toujours meilleure qu'une autre.
    La distinction la plus importante de cette échelle est celle entre logiciel libre et logiciel propriétaire. Les trois niveaux (A, B et C) garantissent la liberté d'action : le droit d'utiliser, de modifier et de maintenir le logiciel de manière indépendante et permanente. Les différences entre ces niveaux reflètent le degré de protection structurelle de cette liberté contre l'acquisition, le changement de licence ou l'évolution de l'écosystème. Elles déterminent également le risque d'être distancé en cas de changement d'orientation du projet.
    Un NutriScore sauce logiciel
    L'idée est de proposer 5 niveaux. Le niveau E signifie que l'on utilise des logiciels propriétaires étrangers, aucune alternative n'est proposée. L'éditeur dépend de la juridiction de son pays d'origin. Dries Buytaert prévient aussi que tous les logiciels libres ne sont pas tous souvertains. "L'open source rend possible une véritable souveraineté. Cependant, cette souveraineté s'inscrit dans un continuum. Le niveau de protection repose sur deux leviers juridiques : la licence elle-même et la propriété des droits d'auteur, qui détermine qui a le pouvoir de modifier la licence." explique le développeur. 
    Par exemple, un niveau C est un logiciel libre sous licence permissive. Une entreprise peut reprendre le code et publier une version fermée. Le risque lié au changement de licence concerne principalement les projets mono-fournisseur. Lorsqu'un projet permissif est hébergé par une fondation neutre comme Apache ou Eclipse, cette fondation en assure la gouvernance et le risque est minimisé. Dans les projets de catégorie C, ce risque provient principalement du contrôle exercé par l'entreprise, et non de la licence elle-même. La communauté peut créer un fork pour remettre en réel open source l'outil. 
    Le score B est un logiciel libre sous licence copyleft, comme la GPL. Le copyleft offre une protection supplémentaire : tout dérivé du code publié doit également rester libre. Pour les décideurs politiques, il s’agit d’une avancée significative. 
    Enfin, la catégorie A correspond à un logiciel libre sous licence copyleft, sans risque de changement de licence. C'est généralement le cas lorsque les droits d'auteur sont gérés par une fondation neutre, ou lorsque des centaines, voire des milliers de contributeurs, possèdent chacun leur portion de code. Dans ce cas, un changement de licence nécessiterait l'accord de chaque contributeur, et tout refus obligerait le projet à réécrire le code intégralement. Plus la propriété est distribuée, plus un changement de licence devient complexe.
    Par rapport à la commission européenne, il évoque plusieurs pistes pour renforcer la notion de souveraineté et d'open source : 
    1 / Accorder une importance nettement plus grande aux licences ouvertes dans le calcul de la souveraineté. Les licences ouvertes sont incomparables aux trois autres facteurs contribuant à la souveraineté technologique. Elles sont les seules à créer des droits permanents et irrévocables. Le cadre réglementaire devrait en tenir compte.
    2 / Distinguer les types de licences. Les licences permissives (BSD, MIT, Apache) n’imposent aucune obligation aux œuvres dérivées de rester ouvertes. Les licences copyleft (GPL, AGPL) exigent que les œuvres dérivées soient diffusées sous les mêmes conditions d’ouverture.
    3 / Évaluer la concentration des droits d’auteur et le risque de changement de licence. Tous les projets ne présentent pas le même risque de changement de licence. Un projet contrôlé par une seule entreprise peut faire l’objet d’une nouvelle licence. Un projet dont les droits d’auteur sont distribués, ou un projet géré par une fondation indépendante des fournisseurs, est beaucoup plus résistant à un changement de licence. C’est la différence entre un engagement révocable et un engagement irrévocable en faveur de l’ouverture.
    Catégorie actualité: 
    Technologies
    Souveraineté
    Image actualité AMP: 

  • Snyk lance AI Security Fabric pour le SDLC

    Ai Security Fabric est la nouvelle solution de l'éditeur Snyk. Cette plateforme s'insère dans le cycle de vie du développement logiciel, SDLC. Elle permet aux entreprises de commercialiser des logiciels basés sur l'IA en toute sécurité et à la vitesse de l'IA. 

    "Aujourd'hui, les développeurs et les concepteurs utilisent non seulement l'IA pour écrire du code et alimenter des applications, mais ils sont également confrontés à une augmentation rapide des cybermenaces liées à l'IA. Ce système aide les entreprises à réduire les risques cumulés sans ralentir l'innovation. L'augmentation de la dette de sécurité, les nouveaux vecteurs d'attaque et le manque de gouvernance dans le développement basé sur l'IA aggravent les risques sur une surface d'attaque en constante expansion. Alors que l'infrastructure IA devient la trame de l'informatique moderne, les entreprises ont besoin d'une trame de sécurité qui assure une protection continue, et non ponctuelle." explique l'éditeur.

    L'outil est donc là pour sécuriser tous les développements IA, les agents, etc. 

    Snyk a identifié trois défis que l’AI Security adresse :

    • Les vulnérabilités apparaissent à un rythme plus rapide : le volume de code explose en raison de l'adoption rapide des pratiques de codage assistées par l'IA. La sécurité doit aller au-delà de l'analyse réactive pour être « sécurisée dès le départ », en stoppant le flux de nouvelles vulnérabilités qui contribuent à l'augmentation des retards en matière de sécurité.
    • Le temps nécessaire à l'exploitation des vulnérabilités diminue : selon Gartner, l'IA devrait accélérer l'exploitation des vulnérabilités de 50 % d'ici 20271. Les attaques automatisées ciblant toutes les expositions disponibles, les organisations doivent systématiquement réduire leur dette de sécurité afin de diminuer leur profil de risque.
    • L'IA a un effet cumulatif sur les risques : le passage au développement natif de l'IA a déclenché une explosion de modèles non gérés et d'agents autonomes dans les workflows de livraison et dans les logiciels eux-mêmes. Cette « Shadow AI » crée une surface d'attaque fragmentée où le danger ne réside plus seulement dans le code, mais aussi dans l'action de l'IA elle-même. Un agent compromis peut enchaîner de manière autonome de nouvelles menaces avec des vulnérabilités précédemment « mises en veille », ce qui aggrave les risques plus rapidement que les équipes humaines ne peuvent y remédier.

    Pour la partie sécurité proprement dite, Snyk cible :

    nyk continue d'ajouter de nouvelles fonctionnalités et améliorations qui concrétisent cette vision de l'AI Security Fabric à travers les trois vecteurs unifiés de la plateforme Snyk AI Security :

    • DevSecOps accéléré par l'IA (stabilisation et réduction de la dette de sécurité) :Snyk aide ses clients à maîtriser les principes fondamentaux, de la visibilité à la gouvernance, afin de garantir la sécurité par défaut de l'ensemble de leur chaîne logistique logicielle.
      • Prévention intégrée : Delta Findings fournit des commentaires immédiats sur les nouveaux risques dans l'IDE et les PR, tandis qu'une expérience PR Check améliorée intègre des tests de sécurité dans les workflows Git afin d'empêcher les risques d'entrer dans les référentiels.
      • Correction plus rapide : accélère les corrections grâce au regroupement par dépendance (en donnant la priorité aux mises à niveau à fort impact) et à la notation du risque de rupture (pour éviter les perturbations de la compilation), tandis que Snyk Agent Fix permet d'effectuer des réparations par IA en un seul clic dans l'IDE et la demande d'extraction. 
      • La corrélation DAST et SAST comble le fossé entre les tests dynamiques et statiques, en reliant directement les vulnérabilités d'exécution à la ligne exacte du code source afin de permettre une correction plus efficace.
    • Sécurisation du développement basé sur l'IA (sécurisation dès la conception dans les agents de codage) : les fonctionnalités de Snyk sont directement intégrées aux assistants de codage IA afin de garantir la sécurité du code généré par l'IA dès sa conception.
      • Barrières de sécurité IA étendues : de nouveaux flux de configuration en 60 secondes sont désormais également disponibles pour Gemini CLI et Claude Code.
      • Échelle de l'entreprise : les équipes de sécurité peuvent désormais définir et distribuer de manière centralisée des garde-fous afin de garantir des normes de sécurité cohérentes.
      • Corrections fluides : les développeurs peuvent déclencher une correction intelligente de bout en bout, de la génération à la demande d'extraction, sans quitter leur flux de travail.
    • Sécurisation des logiciels natifs IA (gestion des agents, des outils et de l'exécution autonome) : alors que nous entrons dans l'ère des agents et des systèmes non déterministes, Snyk aide les organisations à adopter l'IA en toute sécurité et à gérer l'avenir du développement de l'IA.
      • Visibilité du Shadow AI : l'AI-BOM d'Evo s'intègre à l'inventaire des actifs pour détecter automatiquement les modèles et les dépendances. Elle est lancée parallèlement à une nouvelle étude sur les tendances en matière d'adoption de l'IA menée auprès de plus de 500 utilisateurs précurseurs.
      • Sécurité agentique : le prototype MCP-Scan de Snyk Labs exploite l'analyse des flux toxiques pour atténuer l'empoisonnement des outils et l'injection rapide dans le protocole MCP (Model Context Protocol).

    Catégorie actualité: 
    Sécurité
    Snyk
    Image actualité AMP: 

  • Armis : l'AppSec au défi du code généré par l'IA

    L'éditeur en sécurité Armis annonce Centrix pour la sécurité applicative. Le paysage actuel de la sécurité applicative est saturé de solutions fragmentées et statiques, chacune résolvant un morceau du problème mais générant du bruit, des inefficacités et des angles morts. Basée sur IA, Armis Centrix for Application Security détecte les failles dans le code, contextualise ces failles en les reliant à l’environnement réel d’exécution et automatise la remédiation. Elle intègre pleinement l’infrastructure ainsi que le pipeline CI/CD et prend en compte les contrôles de mitigation en production. Armis simplifie la gestion des risques et permet aux équipes de sécurité de prioriser leurs actions pour protéger l’ensemble de la chaîne logicielle.

    « Avec le codage assisté par l’IA, les développeurs accélèrent leurs livraisons… mais peuvent tout aussi rapidement introduire des vulnérabilités. Les équipes de sécurité doivent donc réagir au même rythme et à la même échelle. » poursuit Katie Norton, Responsable Recherche, DevSecOps et Sécurité de la chaîne d’approvisionnement logicielle chez IDC. « Grâce à son scan natif IA, sa vision contextuelle de l’ensemble de la plateforme et sa validation indépendante, Armis Centrix permet aux équipes de sécurité de rester en phase avec cette nouvelle ère du développement IA. »
    L'éditeur affirme réduire les faux positifs de 70 % et améliore notablement le temps moyen de résolution en automatisant la correction. La solution assure la couverture complète du code source à la production. 

    Catégorie actualité: 
    Sécurité
    AppSec
    Image actualité AMP: 

  • Marché de l'emploi IT : un ralentissement mais des profils porteurs

    En 2025, environ 230 000 offres d'emploi concernaient l'IT et la tech, selon HelloWork. Par rapport à 2024, il s'agit d'un recul de 28 %. Il ne faut pas forcément y voir une baisse de recrutement mais de nouvelles pratiques avec quelques priorités technologiques. 

    Les dernières études de HelloWorks fournissent plusieurs stats intéressantes :

    • 1 offre IT sur 2 est localisée en Île-de-France ou en Auvergne-Rhône-Alpes : sans grande surprise
    • La baisse des recrutements concerne la plupart des régions, mais PACA (-17 %) résiste mieux
    • Les métiers des systèmes, réseaux, infrastructures, du développement et du pilotage SI représentent 3 recrutements IT sur 4
    • Technicien de maintenance informatique (+48 %)
    • Ingénieur de recherche en IA (+47 %)
    • Ingénieur systèmes d’information (+43 %)
    • Technicien data center (+41 %)

    Les métiers et profils autour de l'IA progressent fortement, là encore, tout sauf une surprise. En 2025, trois profils de développeurs sont reçus le plus de candidatures :

    - développeur full stack

    - développeur web

    - développeur Python

    Catégorie actualité: 
    Carrière
    HelloWorks
    Image actualité AMP: 

  • Notepad : Microsoft introduit le Markdown et indirectement une vulnérabilité !

    Nodepod est un des outils les plus rudimentaires de Windows. Mais Microsoft cherche à le moderniser pour le transformer en éditeur moderne avec fonctions d'édition plus complets, formatage des textes, gérer les liens et l'apparition du Markdown. Et là, c'est un peu la catastrophe. Une vulnérabilité, la CVE-2026-20841, affiche une sévérité haute. L'attaque potentielle est une injection de commande en autorisant une exécution d'applications non autorisée. 

    La faille est aussi simpliste que gênante.

    1 / on crée un fichier .md

    2 / ce document contient des liens vers des applications, des codes

    3 / si l'utilisateur clique sur un lien embarqué, il arrive que le lien réussit à bypasser la vérification et la validation de Windows pour autoriser ou non l'installation ou l'exécution d'une app distance

    Si l'utilisateur possède des droits élevés, le lien compromis les possède aussi... Les mécanismes laissent passer des protocoles et des liens sans en avertir l'utilisateur. 

    Cette faille concerne les versions 11.2510 et antérieures. Elle a été patchée dans Patch Tuesday de février. A voir si la solution apportée suffira

    Catégorie actualité: 
    Outils
    Notepad
    Image actualité AMP: 

  • Flutter 3.41 : plus modulaire, plus proche des dernières évolutions Android et iOS

    Flutter distribue la version 3.41. Il s'agit d'une version importante avec plus de 860 commits, 145 contributeurs. Pour 2026, Flutter prévoit 4 versions stables :

    Flutter 3.41 -> février

    Flutter 3.44 -> mai

    Flutter 3.47 -> août

    Flutter 3.50 : novembre

    Un des chantiers en cours est séparer Material et Cupertina dans des paquets différents pour une approche plus modulaire. Cette modularité doit permettre de : 

    - des cycles de développement plus rapide sans attendre les SDK pour faire évoluer Materiel et Cupertino

    - mise à jour indépendante des paquets de design

    - adaptive design : mieux coller aux évolutions d'interface des systèmes iOS et Android

    Sur la partie iOS, les équipes continuent à migrer de CocoaPods à Swift Package Manager. Il est fortement conseillé aux développeurs d'utiliser Swift Package Manager. Sur Android, l'alignement sur les briques les plus récentes se poursuit, notamment avec la sortie d'Android Grade Plugin 9. Attention : il ne faut pas migrer vos apps Flutter vers Android Grade Plugin 9. L'équipe travaille dessus.

    Cette version introduit beaucoup de nouveautés et d'améliorations, petite sélection :

    - réduction du délai d'affichage quand vous divisez les shaders : introduction de decodeImageFromPixelsSync

    - Widget Preview est toujours en expérimentation. Cette version supporte Flutter Inspector. 

    - Accessibilité : divers ajouts pour améliorer l'accessibilité des apps Flutter. Par exemple : Flutter prend désormais en compte les préférences d'espacement du texte des utilisateurs sur les navigateurs.

    - DevTools : utilisation de dart2wasm pour la compilation

    Présentation des nouveautés  : https://blog.flutter.dev/whats-new-in-flutter-3-41-302ec140e632

    Note de version : https://docs.flutter.dev/release/release-notes/release-notes-3.41.0

    Catégorie actualité: 
    Frameworks
    Flutter
    Image actualité AMP: 

Menu principal

Connexion

Mes liens

Anciens articles