PyPI (de l’anglais « Python Package Index ») est le dépôt tiers officiel du langage de programmation Python. Son objectif est de doter la communauté des développeurs Python d’un catalogue complet recensant tous les paquets Python libres.
Google, par l’intermédiaire de l’Open Source Security Foundation (OpenSSF) de la Linux Foundation, s’est attaqué à la menace des paquets malveillants et des attaques de la chaîne d’approvisionnement des logiciels open source. Elle a trouvé plus de 200 paquets JavaScript et Python malveillants en un mois, ce qui pourrait avoir des « conséquences graves » pour les développeurs et les organisations pour lesquelles ils écrivent du code lorsqu’ils les installent.
PyPI déploie le système 2FA (pour double authentification ou authentification à deux facteurs) pour les projets critiques écrits en Python.
Lien Benchmarking The Linux Mitigated Performance For Retbleed: It's Painful
Journal PyPI et les projets critiques
Demat' iNal,
En fin de semaine dernière, je reçois un courriel (oh, ce terme doucement désuet) des mainteurs de PyPI me félicitant pour mes trois projets promus "projets critiques", ce qui, à l'instar de mère-grand félicitant un jeune homme d'être costaud, puis s'empressant de lui demander de ranger sa valise dans le wagon TGV, me demande de mettre en place une authentification à deux-facteurs pour mon compte PyPI.
Petit retour sur cette expérience.
Déjà on comprend la motivation : Il (…)
Journal CISSP, sécurité, il faut que je vous raconte un truc...
Il faut que je vous parle d’un truc. Fin 2019, trois mois avant le confinement, il m’est arrivé quelque chose. La crise des 40 ans 4 ans plus tard, peut être… Si vous avez un peu suivi mes précédentes aventures, vous savez qu’à cette période, j’avais décidé de passer mon « vrai » diplôme d’ingénieur, CTI. Vous savez aussi que j’ai pas mal œuvré dans l’écriture de bouquins, et même que l’un deux est une référence dans le domaine… Enfin (…)
Conférence SophiaConf du 27 au 29 juin 2022 en présentiel
La 13e édition de SophiaConf arrive les 27, 28 et 29 juin 2022 pour trois jours de workshops techniques, conférences et visites découverte sur les technologies open source, au Campus SophiaTech (Université Côte d’Azur) à Sophia-Antipolis dans les Alpes-Maritimes. Aux côtés d’experts locaux, SophiaConf accueille cette année notamment Google, OVHcloud, GitHub, Red Hat et Marigold pour parler d’open source, d’IoT et de devops.
La France, et notamment la Côte d’Azur, possède de nombreux acteurs et consommateurs du Logiciel Libre, et cette année encore, SophiaConf réunit ces pépites pour partager leurs expériences et savoirs lors de trois jours articulés en après-midis de workshops techniques et soirées de conférences, autour de l’open source, de l’IoT et du devops.
Plus encore, SophiaConf accueille notamment en têtes d’affiche, des évangélisateurs d’entités renommées dans l’univers du Libre : Laurent GRANGEAU, Solutions architect chez Google ; David APARICIO, Ingénieur DataOps chez OVHcloud ; Tugdual GRALL, Solutions Engineer chez GitHub, Christophe DE DINECHIN, Senior Principal Software Engineer chez Red Hat et Benjamin FUENTES, Technical Lead chez Marigold.
SophiaConf 2022 s’adresse à tous les professionnels, étudiants et passionnés d’open source, avec des sessions techniques d’expérimentation de technologies open source pour les initiés, et des conférences pour tous niveaux.
Lien « Google lance une petite équipe spécialisée dans la mise à jour du logiciel libre critique »
Forum général.général EDR (Endpoint detection and response) bon pour le service ?
Bonjour,
La société de service qui gère l'informatique (maintenance, sécurité, sauvegardes) d'une petite librairie coopérative (postes sous MS-Windows 10 ou 11), propose de remplacer l'antivirus par une solution EDR. Je ne sais pas laquelle. J'ai lu quelques infos sur le sujet mais je suis bien incapable de juger de la maturité et de l'efficacité de ce genre de solution.
Pensez-vous qu'on peut considérer les solutions EDR comme des alternatives efficaces, fiables et performantes aux antivirus classiques ?
Merci d'avance.
Lien L’Afnic lance une formation dédiée à la sécurisation de la messagerie électronique par le DNS
Lien Psychic signatures, un bypass d'authentification et vérification de signatures depuis java 15
Lien [Git] Mettez à jour pour corriger les CVE-2022-24765 & CVE-2022-24767
Lien Que signifie réellement la sécurité de l'information ?
Lien Panorama de la menace informatique 2021 par l'ANSSI
ADSILLH : licence pro Administration et Développement de SI à base de Logiciels Libres et Hybrides
Après une ouverture en septembre 2016 et six promotions, la licence professionnelle ADSILLH (Administrateur et Développeur de Systèmes Informatiques à base de Logiciels Libres et Hybrides) ouvre de nouveau ses portes à l’Université de Bordeaux à la rentrée 2022 !
Cette licence professionnelle vise à former les étudiants à intégrer des logiciels libres et hybrides en un ensemble cohérent répondant aux besoins des entreprises, un système d’information complet par exemple. Il s’agit également de s’impliquer dans les communautés de développeurs de logiciels libres, pour remonter ou corriger les bogues, contribuer des fonctionnalités (c’est tout l’objet du projet tuteuré).
C’est une licence pro en un an (donc BAC + 3), elle est ouverte aux L2, DUT, BTS, en formation initiale et en alternance, mais aussi en formation continue, reprise d’études et contrat professionnel (on peut faire une VAP — Validation des Acquis Professionnels — pour l’inscription). Des VAE (Validation des Acquis de l’Expérience) sont également possibles.