cedricAbonnel/varlog
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
varlog/_cache/similar/9830ba15-11db-46ae-bf9a-cd18e607001d.json
T
Cédrix b0716911b3 init : articles varlog (migration depuis rsync)
2026-05-15 10:37:48 +02:00

1 line
25 KiB
JSON
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
[{"uuid":"3d6d8b38-c514-46dc-93dc-b4b2f19112e9","slug":"l-histoire-du-million-de-dollars-offert-par-george-clooney","title":"L'histoire du million de dollars offert par George Clooney","category":"loisirs","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-04 22:02:12","created_at":"2025-11-04 22:02:12","updated_at":"2025-11-04 22:02:12","tags":[],"plain":"Le Dîner aux Quatorze Valises\r\n\r\nLair de Los Angeles avait ce soir-là une douceur presque irréelle. Le soleil s’était retiré derrière les collines, laissant sur la ville un voile dor et de pourpre. Dans sa villa perchée sur les hauteurs, George Clooney observait le crépuscule à travers les baies vitrées. Il tenait un verre de tequila — pas encore la sienne, pas encore Casamigos — et laissait son esprit vagabonder vers le passé.\r\n\r\nDepuis quelques années, tout semblait lui sourire. Les films, les récompenses, la reconnaissance. Pourtant, au fond de lui, subsistait un souvenir tenace : celui des jours sans gloire, des auditions ratées, des loyers impayés, des doutes qui rongent. Et dans chacun de ces souvenirs, un visage revenait, puis un autre, et encore un autre. Ses amis. Ceux qui avaient cru en lui avant tout le monde.\r\n« Sils ne mavaient pas aidé, je naurais rien aujourdhui », murmura-t-il.\r\n\r\nCest à cet instant que naquit lidée. Folle. Impossible. Parfaite.\r\n--\r\n\r\nLe Plan Clooney\r\n\r\nQuelques jours plus tard, lacteur décrocha son téléphone. À lautre bout du fil, un vieil ami, discret, habitué à gérer des affaires où la confidentialité valait plus que lor.\r\nClooney parla calmement, comme sil commandait un dîner.\r\n— Jaurais besoin de quatorze valises.\r\n— Quatorze valises ? Pour voyager ?\r\n— Non. Pour les remplir.\r\n— Les remplir de quoi ?\r\n— De cash. Un million dans chacune.\r\n\r\nUn silence. Puis un rire, incrédule. Mais Clooney ne riait pas.\r\n\r\nLhomme comprit. Ce n’était pas une blague. Le lendemain, ils se retrouvèrent dans une salle sécurisée dune banque privée. Les employés, discrets et médusés, empilaient des liasses de billets de 20 dollars, soigneusement compressées, jusqu’à atteindre la somme vertigineuse de 14 millions.\r\nLes valises en cuir sombre furent disposées comme dans une scène dOceans Eleven. Sauf que cette fois, George Clooney ne tournait pas un film : il écrivait sa propre légende.\r\n--\r\n\r\nLe Dîner\r\n\r\nNous sommes en 2013. Le ciel de Californie senrobe de lumière chaude.\r\nClooney organise un dîner chez lui. Rien dextravagant à première vue — juste une soirée entre amis, ces mêmes amis quil connaît depuis vingt, trente ans. Des visages familiers : Rande Gerber, Mike Meldman, Grant Heslov, Richard Kind, Tom Mathews… et dautres dont le monde naura jamais le nom.\r\n\r\nIls arrivent un à un, souriants, décontractés. Sur la grande table, dressée simplement, chaque convive remarque une valise en cuir posée à sa place. Ils se jettent des regards curieux, croyant à une plaisanterie.\r\n\r\nLe dîner se déroule dans les rires et les souvenirs. Puis, entre deux verres de vin, Clooney se lève. Le silence sinstalle. Il les regarde, les uns après les autres. Ses amis. Sa famille de cœur.\r\n« Les gars, vous avez été là quand je navais rien. Quand je dormais sur vos canapés, quand je navais pas de rôle, ni dargent, ni de plan. Vous avez cru en moi. Vous avez partagé vos repas, vos toits, votre temps. Aujourdhui, jai envie de vous dire merci. »\r\n\r\nIl désigne les valises.\r\n« Chacune contient un million de dollars en cash. Cest ma façon de vous rendre ce que vous mavez donné : la chance, la loyauté, lamitié. »\r\n\r\nUn murmure traverse la pièce. Certains rient nerveusement, dautres restent figés.\r\nClooney ouvre une valise. Des liasses impeccables, empilées comme dans les films. Le choc est réel.\r\n\r\nPuis il ajoute, avec ce demi-sourire quon lui connaît :\r\n« Et avant que vous ne paniquiez, jai aussi payé les impôts pour vous. Vous naurez rien à déclarer. Cest du net. »\r\n--\r\n\r\nLes Réactions\r\n\r\nRande Gerber, son plus proche complice, éclate de rire avant de secouer la tête.\r\n— George, je ne peux pas accepter ça.\r\n\r\nClooney lui répond calmement :\r\n— Si tu refuses, personne ne reçoit rien.\r\n\r\nAlors Gerber accepte. Et, plus tard, il reverse son million à une œuvre caritative.\r\nCe geste, à lui seul, résume toute la soirée : de la générosité en cascade.\r\n\r\nLes autres ouvrent leurs valises, les mains tremblantes, mi-hilaires, mi-hébétés. Dans cette maison perchée sur les collines, les dollars ne représentent plus la richesse — mais la gratitude.\r\n--\r\n\r\nLHéritage dun Geste\r\n\r\nLhistoire reste secrète pendant des années.\r\nCest seulement en 2017, quand Rande Gerber la raconte publiquement, que le monde découvre ce quon appellera bientôt “Le Coup de Clooney”.\r\n\r\nBeaucoup y voient une extravagance hollywoodienne, un coup d’éclat digne dun scénario. Mais ceux qui connaissent Clooney savent que cest autre chose. Cest la reconnaissance dun homme qui na jamais oublié les soirs de galère, ni les mains tendues.\r\n“Jai pensé : si je me fais renverser par un bus demain, je suis comblé.\r\nMais tout ça naurait aucun sens si je navais pas ces gars à mes côtés.”\r\n— George Clooney, dans GQ, 2020\r\n--\r\n\r\nÉpilogue\r\n\r\nAujourdhui encore, la légende circule à Hollywood comme un conte moderne.\r\nQuatorze valises, quatorze millions, quatorze amitiés.\r\nUne scène digne dun film — mais sans caméra, sans public, sans scénario.\r\n\r\nSeulement un homme, ses amis, et un merci plus fort que tout lor du monde."},{"uuid":"297a69aa-5f67-4c02-8e02-454c2700ee7a","slug":"http-proxy-apache2","title":"Apache 2 : reverse-proxy : configurer un site http avec sous-domaine en www","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-09 16:12:18","created_at":"2023-02-09 16:12:18","updated_at":"2023-02-09 16:12:18","tags":[],"plain":"Voici mes prises de notes pour configurer un reverse-proxy avec Apache 2. Pré requis\nLa configuration du site Internet s'effectue dans un fichier de configuration.\nIl accepte une connexion sur le port http 80.\nIl redirige vers un hébergement par http avec adresse IP Configuration Apache 2\nOn configure un site web à partir d'un fichier qui contient des directives. Dans notre exemple de fichier configure le site Internet . Le fichier à créer est : Afin de prévenir notre paramétrage futur en https, la directive permet de ne pas rediriger les appels pour Let's Encrypt (http/301). En effet, Let's encrypt n'accepte que des status http/200 lorsque nous mettrons en œuvre l'ajout d'un certificat SSL. Cette directive peut-être laissée active, même si vous ne prévoyez pas d'ajouter une certificat SSL avec Let's Encrypt. Activer la configuration du site\nOn active la configuration du site en utilisant le binaire Et si tout se passe bien, on recharge la configuration d'Apache 2 sans avoir besoin de redémarre le service :"},{"uuid":"eaf4d284-81af-4dbe-95e4-887627fef83d","slug":"installer-un-serveur-de-partage-de-fichiers","title":"- Partage de fichiers","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 20:02:47","created_at":"2023-02-28 20:02:47","updated_at":"2023-02-28 20:02:47","tags":[],"plain":"L'objectif de ces notes est de mettre en œuvre un partage de fichier avec SAMBA et NFS.\nSamba\nLe logiciel SAMBA est utilisé pour le partage de fichiers et dimprimantes à laide des protocoles SMB et CIFS. Ces protocoles étant ceux utilisés pour les systèmes dexploitation Microsoft, linstallation de Samba sur une machine équipée de Linux permet :\ndintégrer celle-ci dans le \"réseau Microsoft\" de lentreprise\nde prendre la place dun serveur Microsoft Windows On configure le service Samba à laide du fichier qui est composé de deux parties :\nUne partie globale, qui permet de configurer le fonctionnement du service.\nUne partie partages, où sont listés les partages de répertoires et dimprimantes et leurs paramètres. La suite des manipulations serveur ont été testées avec Raspbian 10 sur Raspberry Pi 2 le 21 mars 2020.\nInstaller Samba sur le serveur\nSur Debian et Rasbpian, il faut utiliser apt : Si votre ordinateur obtient ses paramètres IP à partir d'un serveur DHCP du réseau, ce serveur peut aussi fournir des informations sur les serveurs WINS (serveurs de noms NetBIOS) présents sur le réseau. Une modification du fichier est nécessaire afin que les réglages WINS fournis par le serveur DHCP soient lus dans . Le paquet doit être installé pour utiliser cette fonctionnalité. Samba utilise la configuration présente dans le fichier . A chaque modification il sera nécessaire de redémarrer le service Samba pour que les modifications soient prises en compte :\nCréer un accès Samba anonyme\nToutes les connexions non identifiées se verront attribuer une ressource partagée. Cela permet d'échanger des fichiers sans authentification, dans un espace isolé. Voici la configuration nécessaire dans le fichier du serveur Samba : Côté client Windows, le partage sera accessible sans authentification. Les fichiers et dossiers créés le seront avec l'utilisateur et le groupe . Il faudra veiller à ce que le dossier soit en lecture/écriture pour tout le monde.\nPartage NFS sous Linux\nNFS (Network File System), littéralement système de fichiers en réseau, est un protocole qui permet de partager des fichiers ou des dossiers entre système Unix/Linux depuis 1980. Il permet de monter dans votre système de fichier local des fichiers d'autres ordinateurs et interagir comme si ils étaient montés localement. Donc vous le comprendrez, NFS permet d'accéder de manière local à des fichiers distants. NFS est une architecture standard utilisé par des clients et serveur Unix. Avec NFS il n'est pas nécessaire d'avoir exactement le même système d'exploitation. Et grâce à NFS, nous pouvons réaliser une solution de stockage centralisé. NFS est composé de deux parties :\nServeur NFS : désigne le système qui possède physiquement les ressources (fichiers, répertoires) et les partages sur le réseau avec dautres systèmes.\nClient NFS : désigne un système qui monte les ressources partagées sur le réseau. Une fois montées, les ressources apparaissent comme si elles étaient locales. Le package serveur NFS inclus trois grandes parties inclus dans les package portmap et nfs-utils.\nportmap est un mappeur appelé par les autres machines.\nNFS est le logiciel qui permet de transférer le fichier ou les commandes vers le fichier distant, vers le système de fichier distant, et inversement.\nRPC.mountd et le service qui permet de monter et démonter le système de fichier. Au niveau configuration nous retenons 3 fichier de configuration.\n/etc/exports correspond au fichier de configuration principal du système NFS. Il contient la liste des ressources partagées, une ligne par ressource. \n/etc/fstab permet de monter les dossiers NFS et de les remonter de manière automatique à chaque boot.\netc/sysconfig/nfs et le fichier de configuration du système NFS pour contrôler les ports RPC et les autres services en écoute. Quelques commandes :\nLa liste des ressources partagées peut être obtenue à laide de la commande . Aucune configuration particulière nest nécessaire pour les clients. Les ressources partagées peuvent être listées et montées/démontées manuellement ou automatiquement.\n, compatible avec Windows\n, partage Linux compatible partiellement avec Windows"},{"uuid":"edeb167c-5e04-4856-bcf5-498e7d11f647","slug":"nfs-network-file-system","title":"- Partage réseau sous Linux : NFS","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-09 19:10:21","created_at":"2023-02-09 19:10:21","updated_at":"2023-02-09 19:10:21","tags":[],"plain":"NFS est un système de partage de fichiers, respectant les protocoles d'accès aux fichiers Linux. Il est nécessaire d'avoir deux ordinateurs, au moins, pour mettre en œuvre un partage NFS. Par exemple :\nServeur NFS : rpinas001.acegrp.lan - 192.168.100.1\nClient NFS : dskcdc001.acegrp.lan - 192.168.100.155 Il est possible d'avoir plusieurs Serveur NFS et plusieurs Clients. Il est nécessaire d'autoriser le dialogue réseau entre le Serveur et le Client. L'utilisation de la commande ping pour confirmer la communication entre les deux systèmes. Table des matières\nSommaire\nCréer un partage NFS sous Linux\n1. Installer NFS\n 1. \n 1. \n1. \n1. \n1. \nMonter un partage NFS sous Linux\n1. \n1. \n1. \n1. \nÉditer la configuration\nModifier le fichier en admin pour intégrer le domaine dans la configuration : Décommenter la ligne et indiquer le nom du domaine : Vérifier la configuration du mapping :\nIndiquer les dossiers à partager\nL'idée est de centraliser les dossiers à partager dans le dossier . Pour exemple, on partage dans ce dossier , le dossier .\n-- Créer le dossier :\n-- Créer un point de montage de vers . Ajouter une entrée dans le fichier :\n-- Monter le dossier :\n-- Modifier le fichier /etc/exports :\n-- Mettre à jour les exports :\nGérer les services\nFedora 28 Sous Fedora 28, deux services doivent être activé et démarrés : RPCbind et nfs :\nRaspbian 10 Sous Raspbian 10, il faut activer le service nfs-kernel-server : Puis démarrer le service nfs-kernel-server :\nAjouter une exception dans Firewalld\nOn rajoute 4 exceptions exactement :\n2049 en udp et tcp\n111 en udp et tcp ou encore plus rapidement\nFAQ\nConnaître les services RPC d'un host Résultat\nclnt_create: RPC: Unable to receive\nLe message apparaît après l'utilisation de la commande . Que faire ? 1. Vérifier la connectivité au serveur avec la commande Si la commande ne répond pas, vérifier par une connexion 2. Lister les informations RPC avec la commande"},{"uuid":"3e7ef528-6bd0-4fd1-83cb-a0d03ba35949","slug":"npm-le-ver-dans-le-fruit-comprendre-la-faille-systemique-et-repenser-les-pratiques-devops","title":"NPM, le ver dans le fruit : comprendre la faille systémique et repenser les pratiques DevOps","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2026-05-12 13:08","created_at":"2026-05-12 13:08:44","updated_at":"2026-05-12 13:12:42","tags":[],"plain":"À propos de l'article du MagIT « NPM : une nouvelle campagne malveillante souligne une vulnérabilité systémique ».\r\n\r\nNPM expliqué simplement\r\n\r\nQuand on développe une application web moderne en JavaScript ou TypeScript, on ne réécrit jamais tout depuis zéro. On assemble des briques logicielles déjà écrites par d'autres : un module pour parser des dates, un autre pour valider des emails, un troisième pour discuter avec une base de données. Ces briques s'appellent des paquets, et la place de marché centrale qui les distribue s'appelle npm (Node Package Manager).\r\n\r\nConcrètement, dans un projet, on déclare la liste des paquets nécessaires dans un fichier . On lance la commande , et l'outil télécharge automatiquement les paquets demandés… ainsi que tous les paquets dont ces paquets ont eux-mêmes besoin. Un projet « simple » se retrouve souvent à dépendre de plusieurs centaines, voire plusieurs milliers, de paquets en cascade. C'est ce qu'on appelle l'arbre des dépendances.\r\n\r\nLe registre npm héberge aujourd'hui plus de 2,5 millions de paquets. C'est à la fois sa force — un écosystème colossal, une productivité décuplée — et sa faiblesse : la confiance accordée à chaque maillon de la chaîne est implicite, et chaque maillon devient une porte d'entrée potentielle.\r\n\r\nLa faille : ce qui s'est passé\r\n\r\nL'épisode décrit par LeMagIT n'est pas un bug logiciel classique. C'est ce qu'on appelle une attaque sur la chaîne d'approvisionnement logicielle (supply chain attack) : au lieu d'attaquer directement la cible finale, l'attaquant compromet un fournisseur en amont, et laisse la mise à jour légitime faire son travail de propagation.\r\n\r\nLe scénario reconstitué se déroule en plusieurs temps.\r\n\r\n1. Compromission d'un paquet de confiance. Les attaquants sont parvenus à pousser du code malveillant dans des paquets npm largement utilisés, notamment via le détournement du pipeline d'intégration continue de projets connus comme et l'écosystème Checkmarx. L'astuce n'est pas de publier un faux paquet : c'est de modifier un vrai paquet en exploitant les GitHub Actions — les robots qui construisent et publient automatiquement les nouvelles versions.\r\n\r\n2. Vol de secrets à l'installation. Une fois installé sur la machine d'un développeur ou dans un environnement de build, le code malveillant scanne l'environnement à la recherche de variables sensibles : , , , . Tout ce qui traîne dans les variables d'environnement, les fichiers , les configurations cloud.\r\n\r\n3. Auto-propagation. C'est là que l'attaque devient virale. Avec les jetons npm volés, le maliciel se reconnecte au registre npm, récupère la liste des paquets publiés par la victime, et publie automatiquement des versions piégées de ces paquets. Chaque développeur compromis devient un super-propagateur. Socket a identifié une quarantaine de paquets infectés en cascade lors d'une seule vague.\r\n\r\n4. Persistance. Sur les postes touchés, le malware installe un script pour survivre aux redémarrages, et, si nécessaire, exfiltre les données volées dans un dépôt GitHub public créé pour l'occasion.\r\n\r\nLe résultat : un binaire signé, publié sous un nom officiel, à jour, qui passe tous les contrôles de surface — et qui contamine simultanément le poste du développeur et les serveurs de production.\r\n\r\nPourquoi c'est « systémique »\r\n\r\nLe terme employé par LeMagIT est juste. Ce n'est pas un bug isolé, c'est une propriété structurelle de l'écosystème.\r\n\r\nLa confiance est transitive. On fait confiance à , qui fait confiance à , qui fait confiance à , etc. Compromettre un nœud profond et populaire suffit à toucher des millions de projets.\r\n\r\nLa publication est ouverte. N'importe qui peut publier un paquet. Les contrôles existent (provenance, 2FA pour les mainteneurs populaires) mais restent surtout a posteriori.\r\n\r\nLes scripts d'installation s'exécutent automatiquement. Un paquet npm peut déclarer un qui lance du code arbitraire au moment de . C'est pratique, mais c'est aussi un cheval de Troie idéal.\r\n\r\nLes jetons d'API sont partout. Le poste du développeur, les runners CI/CD, les serveurs : tous manipulent des secrets en clair dans des variables d'environnement. Un malware qui s'exécute dans le build n'a même pas besoin d'escalader ses privilèges.\r\n\r\nLes versions sont mutables sur fenêtre courte. Un paquet peut être republié dans les 72 heures suivant sa publication, et un peut retirer une version d'un jour à l'autre.\r\n\r\nAucun de ces points n'est un défaut technique réparable par un patch. Ce sont des choix d'architecture, vieux de plus de dix ans, qui ont accompagné l'explosion de l'écosystème.\r\n\r\nY a-t-il des alternatives ?\r\n\r\nLa question est légitime, mais la réponse honnête est : pas vraiment, et pour de bonnes raisons.\r\n\r\nLes gestionnaires de paquets alternatifs\r\n\r\n, et sont des gestionnaires différents, mais ils tirent leurs paquets du même registre npm. Migrer de à ne change rien à la surface d'attaque : ce sont les mêmes paquets, le même registre, les mêmes mainteneurs.\r\n\r\nCela dit, certains apportent des garde-fous utiles :\r\na introduit l'option , qui refuse d'installer un paquet publié il y a moins de N jours. Une vague d'attaque dure typiquement quelques heures avant détection : attendre 72 heures avant d'installer une nouvelle version élimine la fenêtre dangereuse.\r\nimpose un consentement explicite pour les scripts , là où npm les exécute par défaut.\r\net proposent des lockfiles stricts () qui garantissent que ce qui est installé en CI correspond exactement à ce qui a été testé.\r\n\r\nLes registres alternatifs\r\n\r\nJSR (JavaScript Registry), lancé par les créateurs de Deno, est le seul vrai nouveau registre crédible. Il a été conçu en tirant les leçons des problèmes de npm : TypeScript natif, modules ECMAScript par défaut, pas de scripts d'install, scoring qualité automatique, compatible avec tous les runtimes (Node, Deno, Bun). Mais JSR est complémentaire, pas un remplaçant : il héberge des milliers de paquets, pas des millions. Pour la majorité des dépendances, on continuera de passer par npm.\r\n\r\nLes registres privés — Verdaccio, GitHub Packages, JFrog Artifactory, Sonatype Nexus — ne remplacent pas npm non plus. Ils servent de proxy filtrant : on continue de récupérer les paquets publics, mais à travers un cache d'entreprise où l'on peut bloquer une version, exiger une signature, refuser un mainteneur, ou interdire les paquets publiés depuis moins de X jours. C'est probablement le meilleur compromis disponible aujourd'hui pour une organisation.\r\n\r\nLe verdict\r\n\r\nAbandonner npm en 2026 reviendrait à abandonner JavaScript. La valeur de l'écosystème (2,5 millions de paquets) est trop importante pour qu'on en sorte. Le problème ne se résoudra pas par un changement d'outil ; il se résoudra par un changement de pratiques.\r\n\r\nChanger les pratiques : ce qui doit devenir réflexe\r\n\r\nL'enseignement de cette campagne, et des précédentes (Shai-Hulud, TeamPCP, l'attaque Trivy/KICS), tient en une phrase : la confiance par défaut est morte. Il faut traiter chaque dépendance comme du code hostile par défaut, et le pipeline CI/CD comme une zone de production.\r\n\r\nAu niveau du poste de développement\r\nActiver l'option (ou équivalent) pour différer l'installation des paquets fraîchement publiés.\r\nDésactiver les scripts par défaut, et n'autoriser que ceux explicitement validés.\r\nNe jamais stocker de jetons en clair dans ou les variables d'environnement persistantes. Préférer un gestionnaire de secrets (1Password CLI, , ).\r\nUtiliser des comptes npm séparés pour la publication, avec 2FA matérielle obligatoire.\r\n\r\nAu niveau du dépôt\r\nVerrouiller systématiquement les dépendances (, , ) et installer en mode strict (, ).\r\nMettre en place un audit automatique des dépendances à chaque PR (Socket, Snyk, GitHub Dependabot, ).\r\nPublier ses propres paquets avec provenance npm (signature liée au pipeline GitHub Actions), pour que les consommateurs puissent vérifier l'origine.\r\nTenir à jour un SBOM (Software Bill of Materials) pour savoir exactement ce qui tourne en production.\r\n\r\nAu niveau du CI/CD\r\n\r\nC'est probablement le chantier le plus important.\r\nCloisonner les jetons. Un jeton de publication npm ne doit jamais coexister avec un jeton AWS dans la même étape de pipeline. Un secret par étape, durée de vie minimale, scope minimal.\r\nPréférer les jetons à courte durée de vie (OIDC entre GitHub Actions et le cloud) plutôt que des clés statiques.\r\nAuditer les GitHub Actions tierces. Une action est l'équivalent d'un . Épingler par hash SHA (), pas par tag mutable.\r\nRestreindre les permissions du au strict minimum ( par défaut, ponctuel et justifié).\r\nSurveiller le comportement réseau des runners : un build qui contacte un domaine inconnu doit lever une alerte.\r\n\r\nAu niveau de l'organisation\r\nMettre en place un registre proxy (Verdaccio, Nexus, Artifactory) avec liste blanche/noire de paquets, et l'imposer comme unique source pour tous les projets.\r\nDéfinir une politique de dependency governance : qui peut introduire une nouvelle dépendance, sous quelles conditions, avec quel niveau d'audit.\r\nPrévoir un playbook de révocation : que faire dans l'heure qui suit la détection d'un paquet compromis (rotation de tous les jetons npm/GitHub/cloud, audit des artefacts publiés, communication).\r\n\r\nEn résumé\r\n\r\nNPM n'est pas cassé, il est tel qu'il a été conçu : ouvert, automatique, transitif. Ce qui a changé, c'est la valeur que les attaquants peuvent en extraire — secrets cloud, jetons CI/CD, accès aux pipelines — et la sophistication des campagnes, qui exploitent désormais l'auto-propagation pour atteindre une échelle virale.\r\n\r\nAucune alternative ne supprime le problème, parce que le problème n'est pas npm : c'est l'idée qu'on puisse exécuter en production du code écrit par des inconnus sans jamais le regarder. Le rôle du DevOps en 2026, c'est de bâtir l'infrastructure qui rend cette inspection systématique, économique et inévitable — registres proxy, lockfiles stricts, jetons éphémères, audits continus, isolation des étapes de build.\r\n\r\nOn ne fera pas confiance à moins de gens. On exigera juste que chaque maillon prouve, à chaque exécution, qu'il est bien celui qu'il prétend être."}]
Reference in New Issue View Git Blame Copy Permalink