Architecte de vos plateformes/produits et agitateur de séries temporelles

Je remets en route la publication de billets de veille, après quelques mois de silence…

Acquisition

• Marimo is joining CoreWeave ou encore Replicate is joining Cloudflare : ces acquisitions sont intéressantes dans la mesure où elles montrent les convergences entre logiciels et infrastructures à l’heure de l’IA.

Backend

• Pocketbase : un backend en Go s’appuyant sur SQlite pour la persistence des données, fournit une API Rest ainsi qu’un dashboard et fournit la partie authentification. En prime, vous pouvez empaqueter votre webapp dans le binaire. Pratique pour des environnements légers et en alternative à localStorage dans le navigateur. Reste que c’est un projet annexe d’une seule personne et qui ne semble pas vouloir le monétiser plus que ça.

Containers

• Docker Engine v29 : cette release est une restructuration interne de Docker et redéfinit les fondations de Docker Engine. Si les changements sont internes, les impacts externes existent aussi : cela a cassé ma génération d’images Docker via Docker-In-Docker dans Gitlab-CI ou encore les devcontainers dans VSCode. Mise à jour à faire avec prudence donc…

Data & IA

• Why I’m Making the Switch to marimo Notebooks : dans mon cas, je passe plutôt de “rien” à marimo car j’ai jamais accroché avec Jupyter et j’en avais pas tant besoin que ça. Marimo vient de lancer d’ailleurs une extension VSCode/Cursor pour marimo.
• Juniors & seniors à l’heure de l’IA : une réflexion intéressante sur la façon dont les juniors peuvent devenir seniors et où finalement le modèle actuel de passage de junior vers senior doit être revisité.
• Dans l’IA, OVH se contente du minimum : Pas tendre avec OVH mais peut-être le plus juste et factuel (vs les fanboys CSP US ou les fanboys Souveraineté FR/EU 😅)

IoT

• Qualcomm rachète Arduino, qui montre son Uno Q, une carte « double cerveau », Qualcomm est-il en train de pervertir l’esprit Arduino ?, Arduino : ce que changent les nouvelles Conditions d’utilisation (analyse complète) : Qualcomm a racheté Arduino début octobre et change les CGU de certains services cloud. La communauté se sent menacée et le prend mal. Le billet de Framboise314 est très complet et mesuré.

Mobile

• Apple JUST quietly announced something that’s a lot BIGGER than it looks: “the Mini Apps Partner Program” : Apple annonce un programme de partenariat pour les mini-apps, des applications web qui peuvent être intégrées dans une “Super App”. Apple envisagerait donc un produit similaire à WeChat ou au projet de Musk de faire de Twitter une SuperApp. C’est un changement majeur dans la façon dont les applications pourraient être développées et utilisées.

Ops

• Cloudflare outage on November 18, 2025 : si la raison de cet incident majeur peut sembler un peu saugrenue (un fichier de configuration qui double de volume), il faut se rappeler que gérer un système distribué à l’échelle de Cloudflare est un vrai défi au quotidien. La transparence de Cloudflare est à saluer et c’est toujours une source d’enseignements.
• Traefik Proxy 3.6 “Ramequin”: Where Every Layer Counts et The Feature You Didn’t Know You Needed: Multi-Layer Routing in Traefik : dans le cadre de sa version 3.6 et de son lot de nouveautés, une fonctionnalité semble particulièrement intéressante : le routage multi-couches. Ainsi, en fonction de la chaine de routage définie, Traefik peut appliquer des règles différentes en fonction des éléments apportés par chaque “layer” - on pensera notamment à la partie authentification ou à la partie abonnement où on pourrait alors rediriger un utilisateur vers la version premium ou la version gratuite en fonction des réponses apportées par les différents layers.

Sécurité

• Live Updates: Sha1-Hulud, The Second Coming - Hundreds of NPM Packages Compromised : le malware Rha1-Hulud refait parler de lui.
• We should all be using dependency cooldowns : le “cooldown” permet de ne récupérer les mises à jour disponibles depuis au moins une certaine durée. Cela peut éviter de récupérer des mises à jour qui peuvent causer des problèmes de sécurité comme dans le cas cité ci-dessus. Ce n’est pas infaillible mais cela peut aider, surtout dans le cadre de mises à jour automatiques.

Souveraineté

• Le Comptoir OCTO - Repenser la souveraineté numérique - OCTO Talks ! : c’est une théorie complémentaire à celle d’Ophélie Coelho dans “Géopolitique du numérique” et la gestion des dépendances technologiques : plutot qu’une approche assez binaire, une gestion des risques passe par l’identification des fournisseurs, par l’utilisation des standards et par le développement des compétences pour accroitre son autonomie.

Bonne lecture !

Data

• Field Notes, Early Fall 2024 Edition : billet résumant l’état de la data et de l’IA par Joe Reis autour de la hype IA Générative, le futur et les turpitudes d’OpenAI, la hype du moment et le décalage entre le marketing de la hype et la réalité de la pratique et des déploiements.

Database

• PostgreSQL 17 : comme chaque année vers fin septembre, la sortie de la nouvelle version majeure de PostgreSQL. Pour être dans une version supportée, il vous faut donc utiliser une version 13+ de PostgreSQL. On notera des améliorations notamment sur la partie SQL/JSON, la réplication, les process de VACUUM.

Produit

• Why You Need Product Engineers : Un “Product Engineer”, c’est un “Software Engineer” qui prend en compte l’UX client lorsqu’il code. Il ne se limite pas à l’implémentation technique.
• La révolution industrielle du service client : leçons de la tech : Pour une entreprise industrielle, la vente s’arrête souvent à l’acte de vente du produit fabriqué alors que les sociétés tech (notamment avec le SaaS), ont compris que l’acte de vente n’était pas la fin mais le commencement de la relation et qu’il était important d’accompagner le client. Evolution nécessaire de faire émerger un département de l’expérience client (ou customer success management) qui couvre tout le cycle de la vente (avant-vente, vente, après-vente + marketing + communication) ; on pourrait même aller jusqu’à mettre le département qualité sous la houlette de cette nouvelle direction…

Ops

• Traefik Proxy v3.2 - A Munster Release : Sortie de la version 3.2 du reverse proxy Traefik avec des améliorations coté gestion des certificats (Configuration Let’s Encrypt, CA personnalisés, etc), des améliorations de performance avec Fast Proxy pour les connections HTTP/1, le support de la Kubernetes Gateway API v1.2, le support IPv6 des midlewares, le support d’OpenTelemetry, etc.

Python

• Hypermodern Python : Même si ruff a remplacé les flake8/black/isort/..., cela reste un bon recueil de bonnes pratiques pour adopter une architecture moderne d’un projet python.
• Stop making your python projects like it was 15 years ago… : dans la même veine que le point précédent pour améliorer l’UX de vos projets python.

Sécurité

• NIST proposes barring some of the most nonsensical password rules : les recommendations de mot de passe du NIST ont été mises à jour pour être plus modernes et pragmatiques avec un assouplissement sur les règles de complexité de mot de passe (et qui terminent sur un post-it sur l’écran quand on n’a pas de gestionnaire de mot de passe) et sur la fréquence de renouvellement des mots de passe (on peut ne pas renouveller sauf suspicion de compromission du mot de passe)

Web

• Is the .io top level domain headed for extinction? et Noms de domaine : le .io pourrait-il vraiment disparaître ? - Next : L’extension .io pourrait disparaitre en tant qu’extension de pays (“Country Code Top Level Domain”) du fait de décisions géopolitiques récentes. Néanmoins ce process pourrait prendre quelques années et il se pourrait aussi que le .io soit repris par l’ICANN comme une extension générique. Intéressant de connaitres les tenants et aboutissants d’une extension de domaine.

Rendez-vous à la fin du mois prochain pour une nouvelle édition.

Une édition un peu courte avec ce mois de Mai où j’étais plus ⛵️ que 👨‍💻

Cloud

• How an empty S3 bucket can make your AWS bill explode : Le tout c’est de le savoir… AWS facture les requêtes non authorisées à vos buckets S3 (code 4XX). Amazon a réagi : les codes d’erreurs http ne seront pas facturés s’ils ne proviennent pas de votre compte/organisation AWS.
• The AWS S3 Denial of Wallet Amplification Attack : dans la même veine, si on télécharge seulement une partie d’un fichier via la méthode RANGE, AWS facture le transfert de l’ensemble du fichier. Valable pour les buckets publics ou privés et s’applique surtout pour les gros fichiers (> 1Go)
• S3 Is Showing Its Age : S3 a beau être le standard de facto au moins en terme d’API, il a néanmoins quelques manques au regard de ces concurrents.
• FOCUS - The Unifying Specification for Cloud Billing Data : La FinOps Fondation est une émanation de la Linux Foundation. Elle vient de sortir la spécification FOCUS : FinOps Cost and Usage Specification (FOCUS™) dans l’objectif de pouvoir uniformiser et outiller une démarche FinOps.

Ops

• Traefik 3.0 GA Has Landed: Here’s How to Migrate - Traefik 3.0: Deep Dive Into Wasm Support With Coraza WAF Plugin - Monitor Your Production at a Glance With Traefik 3.0 and OpenTelemetry - Traefik 3.0 With SPIFFE, Tailscale, and HTTP/3 : Traefik V3.0 est sorti avec son lot de nouveautés et des billets dédiés à chaque nouvelle fonctionnalité sont proposés. La migration se fait sans peine 😌
• Benchmarking Quickwit vs. Loki : si vous ingérez des logs, vous avez surement entendu parler de Loki (édité par Grafana Labs) mais il y a aussi Quickwit. Ce benchmark réalisé par ces derniers montre les forces et faiblesses de chaque outil. En fonction de vos usages, il vous reste à choisir le plus adapté.

Code

• The power of conventional commits : je suis assez fan de Gitmoji + Conventional Commits pour avoir des messages de comits visuels et pertinents. Si la mise en oeuvre est parfois pas très naturel, le plaisir d’avoir un changelog autogénéré et propre ou bien de pouvoir facilement retrouver un commit, son intention et le ticket gitlab associé, cela n’a pas de prix.
• En liaison avec le billet précédent, le générateur de changelog Git-cliff est sorti en version 2.0 avec notamment une intégration plus poussée avec Github, des templates et plein d’autres choses. Git-cliff depuis la version 1.4 peut aussi générer votre prochain numéro de version sur la base de vos commits et la commande bump
• Postgres à nouveau élu SGBD de l’année en 2023, mais je suis inquiet: le cloud et les ORM notamment ont permis de s’affranchir des DBA. Si dans un sens c’est tant mieux, à un certain stade, cela s’avère nécessaire de recourir à l’expertise d’un DBA (même si c’est parfois trop tard). Reste que le problème fondamental est plutôt que les développeurs n’ont plus les fondamentaux en SQL dans ce cas particulier et en architecure logicielle de manière plus globale et c’est peut être surtout ça le vrai problème.
• The continuous amnesia issue : notre industrie est malade, on souffre d’une amnésie continue en ignorant les enseignements du passé. Le “jeunisme”, “la hype” et le fait qu’au delà de 30 ans, il faut être passé du coté du management font qu’on ne valorise/capitalise pas assez sur ce que nos ainés ont fait.
• The High-Risk Refactoring : l’amémioration / la réécriture de code a son lot inhérent de risques techniques et métiers. L’article permet d’appréhener et de cadrer cette décision de façon assez pragmatique pour arriver au niveau de code juste nécessaire.

DNS

• L’ICANN propose le domaine .internal pour votre réseau local : historiquement, il y avait le .local mais dont l’usage a été revu pour du zeroconf notamment. L’usage du .internal est en cours de discussion pour une décision en avril. On va pouvoir (enfin) sortir des domaines fictifs, des domaines publics utilisés en interne (adieu macompany.org) ou encore du “DNS menteur” (macompany.com résolu différemment suivant si on est en interne ou en externe). Néanmoins, une bonne question émerge : comment gérer et garantir les certificats en .internal que tout le monde peut revendiquer ? Aucune entité de certification publique ne pourra émettre de tels certificats… Cela repose alors la question de la PKI privée et de la diffusion des certificats de la CA pour valider les domaines sur votre parc informatique…

OPS

• Traefik Proxy v2.11 is Now Available! Here are the Latest Updates. : Cette version apporte notamment les directives keepAliveMaxRequests et keepAliveMaxTime pour éviter que trop de connections ouvertes restent entre votre reverse proxy et votre applicatif.
• Announcing Traefik Proxy v3.0 RC1: Au programme: Wasm, OpenTelemetry, HTTP/3, SPIFFE et des choses dans le monde Kubernetes. Alors que la migration V1/V2 avait été un peu pénible, l’équipe de Traefik promet une migration en douceur entre V2/V3.

Web

• L’AVIF prend enfin ses aises sur Internet : c’est quoi ce format d’image ? : L’AVIF, un format d’image opensource et qui a pour vocation de remplacer le JPEG est enfin supporté sous Microsoft Edge (les autres navigateurs le supportent depuis 2020/21). Reste plus que le poids des habitudes pour remplacer le bon vieux jpeg par un avif.
• JXL et AVIF – Les nouveaux champions des formats d’image : en continuité du point précédent, il y a aussi JXL pour JPEG XL et des outils pour générer vos premiers fichiers aux formats AVIF/JXL.
• iOS 17.4 seems to remove web app support in the EU - Update on apps distributed in the European Union - Support - Apple Developer - En Europe, iOS 17.4 enterre les applications web - Next : le support des PWA sous iOS 17.4 a sauté au prétexte du DMA européen mais l’Europe demande des explications sur le sujet.
• What PWA Can Do Today : Pour savoir ce qu’il est (encore) possible de faire avec une PWA sous iOS et Android.

Après presque 2 ans de silence et le remplacement de Hugo et Bootstrap par Zola et Tailwind/daisyUI l’été dernier pour générer le site, je vous souhaite une bonne année à tous et la résolution de publier plus régulièrement mes trouvailles…

Data

• Multi-Database Support in DuckDB : Cela multiplie les possibilités :sunglasses:

TL;DR: DuckDB can attach MySQL, Postgres, and SQLite databases in addition to databases stored in its own format. This allows data to be read into DuckDB and moved between these systems in a convenient manner.

IoT

• Devenez un expert LoRaWAN via LoRa et LoRaWAN pour l’Internet des Objets: si vous cherchez un cours théorique et pratique pour vous former aux protocoles LoRa et LoRaWan, je vous le recommande chaudement.

Ops

• DKron via Dkron pilote vos crontab : un gestionnaire de cron distribué, avec une jolie interface et uen API - que demander de plus ? Sur un modèle agent/serveur, le serveur dRkon distribue les tâches aux agents dKron concernés. les agents dKron étant déployés sur les serveurs sur lesquels les jobs doivent s’exécuter.

Reverse Proxy

• Caddy : si vous avez besoin d’un reverse-proxy avec gestion automatique des certificats et redirection HTTP > HTTPS et plein d’autres choses encore mais sans nécessité d’intégration avec Docker comme Traefik, alors jetez un coup d’oeil à Caddy. Il permet également d’avoir un certificat sur localhost. Comme Traefik, il est écrit en Go.

J’avoue que la concision de Caddy vs Traefik et le provider file est bien appréciable:

# Caddyfile
xxx.cerenit.fr {
	reverse_proxy 127.0.0.1:3000
}

# Traefik
http:
  middlewares:
    redirectToHttps:
      redirectScheme:
        permanent: true
        scheme: https
  routers:
    grafana:
      entryPoints:
        - websecure
        - web
      middlewares:
        - redirectToHttps
      rule: Host(`xxx.cerenit.fr`)
      service: grafana@file
      tls:
        certResolver: le
  services:
    grafana:
      loadBalancer:
        servers:
        - url: http://127.0.0.1:3000/

Pour un serveur, la migration de Traefik vers Caddy fait passer le fichier de configuration de 172 lignes à 27 - soit presque 6 fois moins ! 😏

• Caddy-Docker-Proxy via Caddy Docker Proxy, Like Traefik But Better? : si vous souhaitez aller plus loin dans l’intégration Caddy/Docker dans l’objectif de remplacer Traefik, cela semble être une bonne piste. C’est une version modifiée de Caddy pour s’interfacer avec Docker. L’intégration se fait notamment via les labels, comme pour Traefik. A voir si on peut déployer la version standalone en dehors d’un conteneur comme on peut le faire avec Traefik. Cela éviterit ainsi que chaque container à exposer via Caddy-Docker-Proxy rejoigne le réseau ad-hoc.

Exemple:

services:
  whoami:
    image: traefik/whoami
    networks:
      - caddy
    labels:
      caddy: whoami.example.com
      caddy.reverse_proxy: "{{upstreams 80}}"

networks:
  caddy:
    external: true