dimanche, avril 13, 2014

Building castles in the sand...

Now that the fury about OpenSSL is gone, and that we realize first it was not that critical (only 7% of the web sites seemed to be at risk, not two third), and second that it could have been used for two years, but we don't know if it has been (we are waiting for a new Snowden), we can think about what the lessons we can get from this tragic episod.

There are a few, IMHO.

1) OpenSSL is a group of 17 persons, all volunteers. I'm not sure that all of them are active. This is a small bunch of people, for a software that is used at wild. Do people realize that most of the components they are using daily, that they *trust*, are written by such a few developpers?

What if the group decides it's enough ? That family is more important than spending hours on debugging some code, on testing it, and on documenting it ? All of that for the simple feeling of writing good, useful code ?

2) It took 2 years, 2 freaking years, before a company called Google was able to find the issue. What does that mean ? Simply that companies like Yahoo!, which were one of the big IT companies being hit hard by the HeartBleed bug, just didn't do their due diligence.

It's insane to think that those companies are spending BILLIONS of $ buying crappy other companies, trying to improve their load of turd^H^H^H social tools, when they are too cheap to spend a few hundred of thousands dollars to get some expert looking at the code they are using.

Shame on them.

3) Low level components are just left alone. Those days, it's all about the big frameworks, nobody cares about the bricks that are at the very base of our IT.

And that scares the shit out of me, as it should scare any one of you.

We are all expecting that the bricks we are using every day are safe. We are ignoring the risks we are taking, just because we can't check everything. But again, when you look at the commits, you realize you are depending on very few people...


Bottom line : we are building castles in the sand. And I don't even know how we could do any better...

mercredi, mars 26, 2014

Les développeurs, un atout pour la France ?

Il y a quinze jour, quand j'ai appris que Tariq Krim avait pondu une liste des cents meilleurs développeurs français, je me suis dit - et j'ai dit - que c'était totalement crétin.

Je le pense toujours. Tout d'abord parce qu'il y a officiellement 600 000 informaticiens en France (plus ou moins) et que je ne vois pas comment Tariq a pû tous les rencontrer pour constituer sa liste...

Comme le disait Jean-Laurent Morlhon en réponse à un de ses contacts : "Mais qu'est-ce que tu en as à foutre de pas faire partie de cette liste? Tu l'a jamais rencontré, ce gars...", alors, il y a effectivement de fortes chances qu'il s'agisse d'une liste des 100 meilleurs développeurs que Tariq a rencontrés...

Mais, bon, ne nous arrêtons pas à cette aspect bassement marketing, après tout, ça donne de la visibilité. "Dites-en du bien, dites-en du mal, mais surtout parlez-en autour de vous" !

Tariq a également pondu un rapport à destination de Mme Pellerin (dont on ne sait pas aujourd'hui si elle sera encore ministre dans une semaine, mais c'est une autre histoire ;-). Le contenu de ce rapport est intéressant, et mérite qu'on s'y attarde.

Si on met de côté quelques erreurs factuelles (non, Be Inc n'a pas inventé le Journaled File System, IBM a sorti JFS avant que Be Inc soit créé.), et ce côté "petit village gaulois qui résiste" qui devient agaçant quand ce n'est pas en BD, certains constats et propositions sont pertinents.

Mais revenons deux minutes sur le "village gaulois". Même Asterix essaye de comprendre le monde dans lequel il vit, au lieu de se focaliser sur ce qui se produit "au village". Il faudra un jour qu'on m'explique en quoi un cerveau français est supérieur - ou inférieur - à un cerveau guatemaltèque ou coréen... Surtout que le petit français qui a bossé sur le projet X n'a très certainement pas travaillé tout seul ou qu'avec des français ! Et qu'il y a certainement autant de petits finlandais, allemands, espagnols, etc qui participent aux projets que tout le monde utilise... l'intelligence est distribuée, et peut même agir à distance (même quand des crétins^H^H^Hpremiers ministres décident de couper Twitter ou internet!).

Cela étant dit...

  • Un immense marché linguistique : c'et absolument clair. 400 millions de clients potentiels, sans Loi Toubon, ça aide...
  • Sur le rôle des VCs, c'est assez ambigu. Voir une boîte qui développe un jeu à la con pour mobile toucher 10M$ de capital risque, ça m'en touche une sans en bouger l'autre. Est-ce que ça favorise l'innovation ? Pas sûr... Quelle est la valeur ajoutée de ce type d'investissement ?
  • Le CIR : franchement, c'est la plus grosse arnaque^H^H^Hmartingale de ces 20 dernières années : http://fr.wikipedia.org/wiki/Cr%C3%A9dit_d%27imp%C3%B4t_recherche#Critiques. En dehors d'être une ENORME usine à gaz qui enrichit les banques et leurs conseillers (qui n'hésitent pas à vous proposer une aide pour remplir les dossiers, moyennant jusqu'à 25% du montant de cette aide !!!), c'est également une aide dont bénéficient principalement les banques et les assurances et les très grosses entreprises...
  • Les réussites françaises : ok, il y en a peu (Catia ? what else ?). En même temps, combien de leaders mondiaux allemand ou anglais dans le logiciel, à part SAP ?
  • Les opportunités d'affaire : là, je suis 100% en accord avec ce qu'écrit Tariq. Les grosses entreprises françaises sont viscéralement attachées à la notion de ROI et de centre de coûts. Sauf à être le fils de X ou le neveu de Y, qui a fait polytechnique et qui est en poste assez haut dans une grosse entreprise, vous ne trouverez pas d'entreprise pour prendre le pari de vous verser 500K€ pour utiliser votre proto, simplement sur votre gueule et 5 slides. Ca n'existe pas. La prise de risque est simplement une notion étrangère pour les grosses entreprises en France.
  • La commande publique... Quiconque a rempli les nombreux documents (DC1, DC2, etc) sait que c'est un enfer administratif. Si vous êtes une PME, laissez tomber. De toutes façon, vous serez payé avec 6 mois/un an de retard, si vous êtes sélectionné, bien sûr (et qu'on ne vienne pas me dire que la sélection n'est pas biaisée...)
  • La politique des grands groupes vis à vis de l'open source. Alors c'est simple : pour eux, c'est GRA-TUIT. S'ils ont besoin d'une assistance sur un composant et qu'un français est un des développeurs de la solution, et bien si une SSII peut proposer un développeur "spécialiste", pas de soucis : la SSII sera choisie, parce que le service achat a enregistré la grosse SSII ! Parceque ça se passe comme ça : on demande au service achat à qui on  peut s'addresser pour du support sur un composant X ou Y, et on a une liste de contacts (liste pré-établie après négociation annuelle).
  • Les développeurs non reconnus ? Oui. Si a 30 ans, tu n'es pas chef de projet, ta Rolex, tu peux aller la chercher chez Swatch...
  • Concernant le "grand tournant" technologique à prendre, ou ce qui est appelé "feuille de route technologique", désolé Tariq, mais les technos changent toutes les 3 ans, donc il faut pas venir nous raconter qu'il faut lancer un plan quinquénal sur Node.js ! Par contre, qu'il y ait des centres d'expérimentation avec retour d'expérience au sain de l'administration française, oui, ce serait une super idée...
  • Un Github français ? Mais quelle drôle d'idée... Cela dit, ce n'est pas forcément idiot, c'est juste totalement impossible d'imaginer une structure étatique à même de gérer cette infrastructure de façon assez souple et intelligente. Et si on confiait le boulôt à Cloudwatt ??? Je plaisaaaante...
  • Je suis 100% d'accord avec l'idée de promouvoir les développeurs dans l'administration. je suis intimement convaincu qu'il y a des milliers de développeurs frustrés dans les services administratifs qui feraient mieux que les prestataires payés à prix d'or. Mais il faudrait aussi laisser percoler vers le haut les meilleurs d'entre eux, sachant qu'ils ne sortent pas tous de X ou de l'ENA ! Une gageure...
  • Concernant les "startup disruptives", ça relève du secteur privé. Que les investisseurs français ne souhaitent pas risquer l'argent qu'ils ont planqué à Jersey, ce n'est pas le problème de l'état. De toutes façon, ce ne sont pas les développeurs qui vont toucher le pactole au final...
  • La formation... Si on évitait de saboter l'université à coup de coupes budgétaires, déjà... Un maître de conférence de 40 ans va gagner grosso-modo ce que gagne un ingénieur junior avec 2 ans d'expérience. Et il faut s'étonner de la médiocrité de l'enseignement ? (En fait, ce qui est miraculeux, c'est que le niveau de l'enseignement ne soit pas si faible : il faut tenir compte de la passion et de l'abnégation de tout ces enseignants chercheurs, qui se font CHIER toute l'année durant à se faire rembourser avec 9 mois de retard leur chambre d'hôtel à 45€ pour la conférence qu'ils ont donnée l'année dernière, avant que les budgets soient coupés...)
  • Visa de travail : why not... C'est vrai que c'est l'enfer d'employer un travailleur qui ne vient pas de la CEE !
Voilà, il y a du boulot mais je ne sais pas pourquoi, j'ai comme m'impression qu'en terme de timing, ce rapport arrive au plus mauvais moment.

Je le trouve tout de même globalement intéressant.

mercredi, mars 12, 2014

Courteline, 2014...

Cela fait bientôt dix ans que je paye mes impôts sur internet. A part les premières années, où c'était compliqué - surcharge du serveur, mise en place de certificat, etc -, tout fonctionne.

Le gouvernement a lancé ce qu'il appelle un "choc de simplification".

On en voit les conséquences au fur et à mesure. Par exemple, le recensement peut se faire sur Internet.

Mais c'est lent. Très lent...

Typiquement, si vous organisez une conférence en France, et que vous voulez faire venir des intervenants de pays "exotiques" - l'Inde par exemple..., il vous faudra passer par toute une série de mesures vexatoires, mais surtout inutiles, pour bien vous faire sentir que quand même, il y a un énorme risque que l'intervenant demande l'asile politique ou simplement décide de rester en France, ce pays merveilleux où les écoutes téléphoniques sont légales (mais c'est une autre histoire).

Typiquement, vous devez produire la preuve que :
  • vous avez de quoi héberger la personne chez vous si vous vous proposez de l'accueillir
  • vous gagnez assez d'argent pour assurer sa présence (comptez 50€ par jour, amenez votre feuille d'imposition)
  • vous habitez bien là où vous prétendez habiter (prévoir au moins 2 justificatifs de domicile)
Par ailleurs, il vous faudra acquitter la modique somme de 30€ pour ces démarches terriblement utiles, et bien sûr, sous la forme d'un timbre fiscal. Oui, un TIMBRE en papier...

Du côté de l'intervenant, c'est encore pire :
  • demande de visa au moins 1 mois à l'avance
  • visite au consulat le plus proche (compter 600km en moyenne en Inde, il n'y a que 3 consulats français en Inde)
 Bref...

Ce matin, je décide de faire établir une procuration pour les élections municipales qui arrivent à grand pas. Je n'ai jamais raté une élection, mais là, je serai aux Etats-Unis. Qu'à cela ne tienne...

Donc, hop, choc de simplification en action, suite à une campagne de publicité sur toutes les radios publiques ("Oui, vous pouvez vous simplifier la vie en remplissant votre procuration sur internet". Mon cul !)

Déjà, impossible de le faire en ligne. Il faut se rendre au commissariat de police (ils n'ont que ça à foutre, j'imagine !) ou au tribunal d'instance. En même temps, il y a 2.5 millions fonctionnaires d'état, il faut bien les occuper. Ok, pourquoi pas...

Mais arrivé là-bas avec mon formulaire rempli, on me dit qu'il faut remplir à la main la fiche cartonnée qui n'est que l'exacte reproduction de ce que j'ai apporté.

La raison ? Aucune. "Une circulaire nous interdit d'accepter les formulaires CERFA imprimés mais remplis à la main...".

Ben voyons...

Et me voilà en train de remplir A LA MAIN le formulaire cartonné...

2014... Relire Courteline...


lundi, juillet 08, 2013

LDAPCon 2013, November 18-19 in Paris, France

The fourth International Conference on LDAP (LDAPCon) will take place in November 18-19 in Paris, France.



The International Conference on LDAP is a technical forum for IT professionals interested in LDAP and related topics like directory servers, directory management applications, directory integration, identity and access management, and meta directories.

It focuses on implementation and integration of LDAP servers and LDAP-enabled client applications. The event will bring together vendors, developers, active and prospective LDAP practitioners to share their experiences about deployment strategies, service operations, interoperability, discuss LDAP usage in new projects and learn about upcoming trends and developments.

A Call for Papers has been raised. You have up to September 8th 2013 to submit your talk. You can find all details, important dates or topic ideas on the LDAPCon CFP page.

mardi, février 07, 2012

Clueless...

Sometime, when moderating some Apache mails, you find jewels like this one :


LinkedIn
------------

Apache,

I'd like to add you to my professional network on LinkedIn.

- Chris

Chris XXX Lead XXXXXX Technical Recruiter at YYYYY
San Francisco Bay Area

mardi, juin 21, 2011

Release issue...

We are facing this issue for months (years ?), and I still don't understand why...

One upon a time, we cut a release on one of my favorite projects (Apache MINA, Apache Directory Server, Apache LDAp API, Apache LDAp Studio), and we regularly get a message like :

#mvn release:prepare
...
[ERROR] Failed to execute goal org.apache.maven.plugins:maven-release-plugin:2.1:prepare (default-cli) on project project: Unable to tag SCM
[ERROR] Provider message:
[ERROR] The svn tag command failed.
[ERROR] Command output:
[ERROR] svn: No such revision 1138066

which is simply a nonsense. We have a workaround, it's a mater of running :
svn up
and replay the release command, which will succeed.

However, this is just an annoyance that I would like to see removed from our path.

Does anyone has a clue about what's going on ? I would be grateful (even if I just have an explanation like "it's a referenced bug in SVN").

samedi, avril 09, 2011

LDAPCon 2011 : Call for papers !

LDAPCon 2011

The third International Conference on LDAP (LDAPCon) will take place in
October 10 – 11 in Heidelberg, Germany.

The International Conference on LDAP is a technical forum for IT professionals interested in LDAP and related topics like directory servers, directory management applications, directory integration, identity and access management, and meta directories.


It focuses on implementation and integration of LDAP servers and LDAP-enabled client applications. The event will bring together vendors, developers, active and prospective LDAP practitioners to share their experiences about deployment strategies, service operations, interoperability, discuss LDAP usage in new projects and learn about upcoming trends and developments.


The conference language is english.


Call for papers : http://www.daasi.de/ldapcon2011/index.php?site=cfp