Publié par
Il y a 4 semaines · 3 minutes · Craft, Data, Web

Revue de presse

La revue de presse hebdomadaire des technologies Big Data, DevOps et Web, architectures Java et mobilité dans des environnements agiles, proposée par Xebia.

 

Craftsmanship

Scala Wars: FP-OOP vs FP

Très flexible, Scala permet de mettre le curseur où vous le souhaitez entre programation fonctionnelle (FP) et programmation orientée object (OOP). On parle souvent du FP-OOP lorsqu’on se trouve entre les deux.

Si l’OOP permet à Scala d’être aussi accessible que Java 8 ou Kotlin, la FP effraie un peu. Pourtant, si on gratte un peu la surface, il y a de réels avantages. L’OOP étant très populaire et la FP très méconnue, j’ai sciemment choisi de vous faire découvrir l’avis d’un promoteur inconditionnel de la FP. Il ne cherche pas à convaincre les indécrottables de l’OOP, mais plutôt à inciter les pratiquants de la FP-OOP à pencher plus franchement vers la FP. Ce fanatique (auto-qualifié) de la FP est John de Goes, et vous allez lire Scala War: FP-OOP vs FP.

Data

Data To Viz

Les dataviz servent à présenter nos résultats. Une fois le type de représentation choisi, le calvaire continue avec les nombreux pièges qui nuisent à la lisibilité et l’interprétation des données.

Web

Revenons sur le détournement de ESLint-scope !

ESLint-scope, la dépendance des célèbres modules JS ESLint, babel-eslint et webpack, permettant l’analyse du scope ECMAScript, a été compromise le 12 juillet dernier suite au vol des identifiants NPM de l’un des mainteneurs du projet.

C’est en effet ce qu’a révélé Andrei Mihailov sur cette issue qui, un peu plus de trente minutes après le release non-autorisé de la version 3.7.2 du module, a repéré un code suspicieux permettant de subtiliser les tokens d’identification NPM, après l’installation dudit module. Plus d’une heure plus tard, la version corrompue a été retirée du store NPM et une version 3.7.3, copie de la dernière version saine, a été publiée. De plus, tous les tokens générés avant le retrait du paquet sont révoqués.

Le risque est bien plus grand qu’il n’y parait … En effet, on parle d’un potentiel vol massif de tokens NPM, ceux-là même qui vous autorisent à publier vos propres modules. thenewwazoo, membre de Hacker News, démontre très bien dans ce post que la solution dépêchée par l’équipe NPM, c’est-à-dire la révocation des tokens, est une action très limitée si d’autres modules ont été corrompus avant. Or, la team NPM a publié ce rapport précisant qu’il y a eu approximativement 4500 comptes corrompus avant la révocation des tokens, soit tout autant, voire plus, de projets potentiellement infectés. Nous vous conseillons donc de vérifier et de corriger, si nécessaire, vos package.json mais également de fixer vos dépendances (package.lock/yarn.lock) ainsi que de nettoyer votre cache NPM. Il conviendra également d’apporter une attention particulière à la sécurité de vos comptes (changement de mot de passe, 2FA) et de vos projets (protection 2FA sur vos modules NPM). Enfin, plus que jamais, soyez précautionneux avec le code que vous importez dans vos projets, qu’il vienne de NPM ou d’ailleurs !

Pour plus d’informations, vous pouvez vous référer au rapport postmortem ESLint et au rapport NPM.

Xebia France
Xebia est un cabinet de conseil international spécialisé dans les technologies Big Data, Web, les architectures Java et la mobilité dans des environnements agiles. Depuis plus de 11 ans nous avons la volonté de partager notre expertise et nos actualités à travers notre blog technique.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *