# Keycloak en version 17.0.0 est disponible
Par Laurent Meunier
La nouvelle version 17.0.0 de Keycloak est disponible depuis le 11 février 2022. Il s’agit d’une nouvelle version majeure qui apporte un changement de taille : le remplacement de Wildfly par Quarkus. Pour rappel, Wildfly est un serveur d’application développé en Java, anciennement nommé JBoss Application Server ou plus simplement JBoss. Quant à Quarkus, il s’agit d’un framework d’application Java dont la particularité est d’être conçu pour fonctionner nativement en mode container (démarrage rapide et faible empreinte mémoire).
Wildfly n’a pas totalement disparu de Keycloak, la variante historique de Keycloak avec Wildfly sera disponible jusqu’en juin 2022. Passé cette date, il sera obligatoirement de passer à Quarkus pour bénéficier d’une version maintenue.
L’utilisation de Quarkus apporte son lot de changements pour l’installation et la configuration de Keycloak. Un guide migration à destination des intégrateurs est disponible pour aider à sauter le pas.
Dans la continuité de l’abandon de Wildfly, les mainteneurs de Keycloak ont également annoncé la dépréciation de plusieurs “adapters”. Un “adapter” est une bibliothèque cliente permettant de connecter facilement une application à Keycloak. Le constat est que ces “adapters” ne bénéficient pas d’une attention suffisante pour être maintenus sur la durée et qu’il existe dorénavant des bibliothèques clientes de bonne qualité dans la plupart des langages de programmation implémentant les protocoles gérés par Keycloak (OpenID Connect et SAML).
# Dependency-Track v4.4 est disponible
par Xavier Calland
Nous en parlions le mois dernier, la version 1.4 de CycloneDX, introduisant la gestion de VEX (Vulnerability exploitability exchange), a été publiée.
Il n’aura pas fallu longtemps pour voir Dependency-Track intégrer une prise en charge de VEX, à peine un mois et c’est chose faite avec la version 4.4. Rien d’étonnant puisque Dependency-Track et CycloneDX sont tous les deux des projets pilotés par l’OWASP.
Le support de VEX dans Dependency-Track se traduit pour le moment par des modifications sur le workflow d’audit des vulnérabilités d’un projet et l’export de BOM.
Plus de détails sur le contenu de la version 4.4 de Dependency-Track sur le site officiel.
# Unlighthouse
par Thomas Broyer
Harlan Wilton, un développeur freelance australien, a créé Unlighthouse pour automatiser les analyses Google Lighthouse sur un site entier et fournir un rapport centralisé des différents résultats. L’outil peut ainsi analyser un site complet en une seule commande en utilisant sa sitemap, en collectant les liens dans les pages à la manière d’un robot d’indexation, ou en en fournissant la liste explicitement. Des intégrations sont également fournies pour Nuxt.js (l’auteur étant un grand utilisateur de Vue.js), Vite, et Webpack pour collecter les URLs des pages directement depuis ces outils. Enfin, une variante pour les environnements d’intégration continue permet de vérifier un budget pour les scores calculés par Lighthouse (et ainsi avoir une erreur si un score n’est pas assez élevé) et créer le rapport sous forme de fichiers statiques.
Laisser un commentaire