Mot-clé - april

Fil des billets

vendredi, octobre 21 2011

La sécurité, Bugzilla et Debian

Pendant un certain temps, j'ai été l'un des développeurs d'un Logiciel Libre qui s'appelle Bugzilla. Ça reste l'une de mes contributions les plus importants (si ce n'est *la* plus importante) au monde du libre.

Il y a quelques semaines, on m'a signalé sur le canal IRC de Parinux le ticket #638705 de Debian. Celui-ci a été crée par Moritz Muehlenhoff (membre de l'équipe sécurité de Debian) demandant qu'on retire le paquet de bugzilla des dépôts Debian. Il explique dans son ticket que le paquet de Bugzilla que distribue Debian souffre de plusieurs failles de sécurité et que le mainteneur n'a visiblement pas l'intention de publier une version qui les corrige. Alexander Reichle-Schmehl intervient alors dans le ticket pour dire le logiciel a été supprimé dans la base de données.

J'ai informé les développeurs de Bugzilla de cette action (des fois, je me dis qu'il y a de gros problèmes de communication entre les distributions et les projets qu'ils distribuent). Globalement, tout le monde a semblé se réjouir de cette décision. Il y a maintenant plus de chance que les gens qui souhaitent installer Bugzilla sur Debian le fassent à partir des sources fournis par l'équipe Bugzilla plutôt qu'avec le paquet Debian. Ils auront donc un Bugzilla plus facile à installer (celui-ci de Debian ne marchait que dans certains conditions) et les personnes qui l'utiliseront ne partiront pas du principe que Debian gère pour eux mêmes la sécurité de leur installation.

Le 10 octobre, l'équipe de sécurité a publié le bulletin d'alerte correspondant aux failles de sécurité en question. Malheureusement, on peut y lire la mention suivante "Pour la distribution oldstable (Lenny), il n'était pas pratique de rétroporter les correctifs pour corriger ces bogues. Nous recommandons très fortement aux utilisateurs de bugzilla sous Lenny de mettre à jour vers la version de la distribution Squeeze.".

C'est dommage. Je vous avoue que, là, Debian baisse dans mon estime.

lundi, avril 25 2011

Fedora et FVWM

Ceux qui suivent l'actualité de Fedora savent que la Beta de Fedora 15 est sorti la semaine dernière. J'ai profité du weekend pour l'installer sur deux PC. L'un d'entre eux n'ayant pas de cartes graphique digne de ce nom, je me suis retrouvé avec le mode fallback de Gnome. Passons rapidement, celui-ci ne fera l'affaire pour personne, j'en ai peur.

L'installation sur le portable s'est mieux passé. J'ai alors pu profiter pleinement des nouveautés de Fedora 15. Firefox 4 permet (enfin) de voir les vidéos Youtube sans avoir à installer Flash sur son ordinateur, Gnome 3 (dont je redoutais qu'il soit plus difficile à prendre en main que ça). Le ventilateur du portable s'emballant au bout d'une heure d'utilisation, je n'ai pas pu tester longtemps mais ça semble prometteur.

L'actualité a aussi été marquée ces derniers temps par la sortie de FVWM 2.6.0. Pour ceux qui ont commencé à utiliser les distributions GNU/Linux après la sortie de les versions 1.0 de GNOME et KDE, ça marquera un retour aux sources. Avant Gnome et KDE, FVWM était le gestionnaire par défaut des distributions, en raison de sa très grande configurabilité.

J'ai donc pris les archives disponibles sur fvwm.org, compilé des rpms et j'ai installé sur ma machine. Force est de constater que très peu de choses ont changés en 10 ans (la sortie de 2.4.0 date de 2001). La configuration par défaut est toujours aussi brut et FVWM est toujours (voire encore plus) configurable. Je sens que je vais l'installer sur les machines qui n'ont pas la configuration matériel nécessaire pour Gnome 3.

L'autre nouveauté du projet, c'est l'abandon du cycle de développement actuel (on me souffle dans l'oreillette que 10 ans entre chaque version d'un logiciel, c'est long). Les développeurs de FVWM préparent une migration de CVS à git pour gérer leur code source et comptent utiliser les fonctionnalités de git pour développer les fonctionnalités majeures dans des branches spéciales. Une fois le développement d'une fonctionnalité terminé, on fusionne la branche principale avec la branche de développement et on se retrouve avec une version stable de FVWM qui contient la fonctionnalité en question. Les fonctionnalités seront donc disponibles des que possible aux utilisateurs de FVWM.