La veille de Wittouck - Fin Avril 2025

2 mai 2025 - 4 minutes de lecture

Série d'articles : La veille de Wittouck

En ce début de mois de mai, il fait beau, donc on n’a pas très envie de passer du temps sur son ordi à scroller pour faire sa veille. Alors on lit la veille de Wittouck !

Sur pas mal de liens, j’ai oublié de noter les sources qui m’ont permis de les découvrir (oups), je vais faire attention à ce point pour la prochaine édition.

🛜 Internet

DevOxx France 2025 sur Youtube

La playlist de Devoxx France 2025 se remplit avec des vidéos masquées, donc la publication devrait bientôt être faite 🤞

Professeur Fabrizio Bucella sur Youtube.

J’ai découvert les shorts de ce professeur belge par hasard. Il nous explique des principes de physique en quelques minutes, principalement avec un tableau noir et une craie. C’est incroyable de pédagogie, plein d’humour et de bel accent belge 🇧🇪. Salukes.

Thoughts on Bluesky Verification par Steve Klabnik sur Bluesky

Un article intéressant qui détaille quelques éléments du protocole AT implémenté par BlueSky et en particulier les enregistrements qui permettent la vérification (coche bleue).

🔒 Sécurité

L’actualité principale de ce mois d’avril a été l’annonce de la fin du financement des programmes CVE et CWE par le gouvernement fédéral Américain, via l’entité MITRE. Le gouvernement est depuis revenu en arrière et a prolongé le financement de 11 mois, mais cette annonce a inquiété toute la sphère sécu. Et l’ombre de la fin du financement plane toujours. À noter que le financement de NVD (la National Vulnerability Database) qui est aussi utilisée par des outils comme OWASP Dependency Check ne serait pas directement impacté par un arrêt du financement de MITRE (car étant financés par une autre entité fédérale). Ces outils continueraient à fonctionner (ouf).

Plusieurs liens autour de ce sujet :

La lettre envoyée aux membres du board CVE via Tib3rius sur Bluesky

Ce document semble être la première information sur l’arrêt du financement

Suite à cette annonce, et pour assurer sa pérennité et son indépendance aux financements du gouvernement américain, la CVE Foundation a été officialisée :

CVE Foundation

Ce document décrit principalement les enjeux du programme et les buts principaux de la fondation : une gouvernance internationale et la transparence sur la gestion des financements.

Pour comprendre les événements :

CVE Program Funding Reinstated—What It Means And What To Do Next via Gergely Orosz sur BlueSky

Cet excellent article résume ce qu’il s’est passé sur ces quelques jours, depuis l’annonce de la fin du financement, et quelle pourrait être la suite.

Enfin, il serait peut-être intéressant de creuser l’alternative européenne : EUVD (pour European Union Vulnerability Database), qui reprend aussi les données de CVE, mais permettrait une indépendance en cas de coupure de CVE, qui semble maintenant partiellement protégé par la fondation, mais reste encore sous gouvernance Américaine.

EUVD : La page d’accueil de la base de données EUVD, portée par l’ENISA (European Union Agency For CyberSecurity)

Je pense que cette base de données pourrait devenir une alternative fiable à la NVD américaine. À voir si des outils comme OWASP DC ou OWASP DT sont forkés / paramétrables pour se brancher sur ces données. Je n’ai pas trouvé comment télécharger le JSON avec les EUVD 😅

☕ Java

What’s new in Maven 4?

Maven 4 n’est pas encore sorti, mais dévoile une partie de ses fonctionnalités : Java 17 par défaut (en replacement de Java 5 ?), Des modifications sur le format du pom avec la séparation du pom de build du pom de consommation. Et aussi l’officialisation du type bom comme type de package. mvnd reste un projet à part. Un guide de migration est aussi déjà disponible.

javac on WebAssembly

Cette info a été teasée par Alina Yurenko à DevOxx France 2025. GraalVM développe la capacité à compiler du code en WebAssembly (l’exécution de WebAssembly est déjà implémentée par GraalVM Polyglot). Cela ouvre de nouvelles possibilités : exécuter du code Java dans un browser, sans avoir besoin de runtime particulier !

☕ IA

AI 2027

Un article qui imagine l’évolution de l’IA dans les années à venir. L’article prend beaucoup en compte le contexte géopolitique actuel comme inspiration. On frise la science-fiction (surtout sur la fin, qu’on peut choisir entre deux scenarios). À lire absolument.

👷 DevOps

OpenTofu Joins CNCF via TheNewStack

La CNCF a accepté l’intégration de OpenTofu en tant que projet sandbox. C’est une belle étape de franchie pour ce fork de Terraform, qui s’inscrit donc bien dans la durée.

La prochaine publication est prévue autour du 16 mai 🗓️

Photo de couverture par Michiel Leunens sur Unsplash