# NPM génère directement vos SBOMs
par Xavier Calland
La sécurité logicielle est au cœur des préoccupations d’Atol lors de la réalisation de nos projets.
Pour cela nous nous appuyons, entre autres, sur le format SBOM et DependencyTrack pour identifier les dépendances intégrées dans nos livrables et faire un audit des vulnérabilités qu’elles comportent.
La génération du SBOM demande généralement à faire appel à des outils externes comme des plugins pour les outils de build comme gradle, maven ou encore npm (merci CycloneDX de fournir autant d’outils) ou des outils externes comme Syft ou Trivy.
L’intégration de ces composants dans la chaîne de build se fait généralement sans encombre, il n’en reste pas moins que cela représente un outil supplémentaire à maîtriser et à suivre (mettre à jour, etc).
Avec l’intégration directement dans NPM (en version 9 et 10) d’une fonctionnalité pour générer un SBOM, plus besoin de plugin.
On franchit encore une étape pour faciliter le suivi des dépendances.
On peut espérer qu’attacher un SBOM à un livrable devienne la norme et que, rêvons un peu, il soit accompagné d’un VEX. Cela représenterait un pas de géant dans le suivi des vulnérabilités, puisqu’il permet au mainteneur d’indiquer quelles vulnérabilités sont applicables au projet.
# Vite passe la 5ème
par Valentin Marguerie
Le très populaire outil de développement front Vite s’offre un gain en performance avec sa nouvelle version. Exit le support pour les versions de Node en dessous de la 18 qui atteignent leur fin de vie et passage à Rollup 4 côté bundler.
Niveau migration, tout est fait pour un passage de la v4 à la v5 sans problème avec un guide complet mis à disposition dans la documentation. Nous avons pu mettre à jour l’un de nos projets Vite + React, seule la dépendance au plugin @vitejs/plugin-react a dû être mise à jour. Cette version est plus une évolution qu’une révolution mais vient tout de même régler un certain nombre de problèmes. Pour plus de détails, rendez-vous sur le changelog.
# Interroger des fichiers distants avec DuckDB
par Charles-Henry Vagner
Eric Mauvière de la société Icem7 avec qui nous avons pu mettre en oeuvre le scrolly telling de VizAgreste, nous livre un excellent article sur l’utilisation de DuckDB pour interroger des données distantes au format Apache Parquet : 3 explorations bluffantes avec DuckDB – Interroger des fichiers distants (1/3).
Partant d’exemples concrets avec des questions du type “À Paris, quels sont les arrondissements où la part des ménages ayant plus de 2 voitures est la plus forte ?”, il expose sa démarche de recherche et détaille les étapes dans un style que nous adorons. Et les performances annoncées sont bluffantes : partant d’un fichier parquet de 500 Mo servi en HTTPS, les requêtes optimisées nécessitent quelques Mo de bande passante et ne dépassent pas quelques secondes d’exécution…
Cet article s’inscrit dans une série que nous avons hâte de découvrir !
Mais au fait, c’est quoi le format parquet ? Là encore, je vous invite à consulter un article du blog Icem7 daté de décembre 2022 : Parquet devrait remplacer le format CSV. En particulier, il introduit le format et ses avantages, quelques outils de manipulation et des considérations permettant de performer. En l’occurrence, l’article met en avant le combo parquet/DuckDB en le comparant à PostgreSQL dans un contexte particulier.
J’en profite pour ajouter un avantage au format parquet qu’Icem7 n’a pas avancé dans son article. Dans un contexte d’utilisation dans le cloud, il permet d’économiser à 3 niveaux : en espace de stockage, en bande passante et en temps processeur ; donc financièrement. C’est que l’article de databricks Parquet, qu’est-ce que c’est ? explicite avec une comparaison CSV / Parquet sans équivoque dans le contexte d’un stockage Amazon S3.
# JSCrush
par Alexandre Nicolas
Un petit jeu fort-sympathique inspiré de l’infâme table d’égalité de Javascript. Ici, tous les tests sont effectués avec une égalité non-stricte (opérateur ==), de quoi perdre rapidement la boule et nous rappeler pourquoi nous devons toujours utiliser l’opérateur strict !
# Keycloak 23
par Thomas Broyer
La version 23 de Keycloak est sortie ; l’essentiel des nouveautés se situe du côté de l’authentification à proprement parler :
- support d’OpenID Connect Financial-grade API (FAPI)
- support en preview de OAuth 2.0 Demonstrating Proof-of-Possession (DPoP)
- plus de flexibilité sur les claims retournés par l’Introspection Endpoint, dans une démarche d’alléger les access tokens et déplacer des claims des access tokens (qui sont des JWT avec Keycloak) vers l’Introspection Endpoint
- support des passkeys ! 🎉
Cette version introduit également le support en preview de déploiement en mode actif-passif (jusqu’à présent, les clusters Keycloak étaient obligatoirement actif-actif).
On pourra également noter que les champs de saisie de mots de passe ont désormais un mécanisme permettant d’afficher le mot de passe en cours de saisie.
Laisser un commentaire