Intéressant comme article. Et ça tombe à pic : on est en train de finaliser un papier montrant l'importance de la propagation des vulnérabilités à cause des liens de dépendances entre les paquets, ainsi que le délai supplémentaire pour que les "fix" soient acceptés par les dépendances (souvent ce n'est pas automatique, à cause des contraintes de version). Pour l'instant, ça concerne npm uniquement (parce que j'avais les données sous la main), mais je suppose qu'on va généraliser à d'autres package managers comme on l'a fait précédemment (cargo, cpan, cran, rubygems, npm, nuget, packagist).

J'ai justement lu l'article ce matin (sans passer par lexpage, shame !).
Et bizarrement cela ne me surprend pas.
J'ai du mal avec les gestionnaires de paquets pour le web. Ok ça accélère "un peu" la mise en place, mais ça génère un tas de problèmes si :
- tu n'as pas ancré les versions à un moment donnée, ça risque de te péter pas mal de truc lors d'un update
- si tu as ancré tes versions à instant T, au final ça te prend un long moment de mise à jour
- les cascades de dépendances c'est un horreur, et pas que en terme de sécurité.

Bref, bonne lecture dans le bus ce matin.

yaugun tas de problèmes si :
- tu n'as pas ancré les versions à un moment donnée, ça risque de te péter pas mal de truc lors d'un update
- si tu as ancré tes versions à instant T, au final ça te prend un long moment de mise à jour

Oui mais non, semver est un outil puissant pour palier à ça, le développeur est responsable de la plage de versions compatibles avec son application.

yaug- les cascades de dépendances c'est un horreur, et pas que en terme de sécurité.

Là, oui

Je plussoie Fabe sur l'usage de semver. Si les paquets dont tu dépends le respecte, c'est du bonheur pour limiter la casse (aussi bien pour bénéficier des fixes automatiquement, mais aussi pour éviter les changements incompatibles). Dans tous les cas, la mise à jour des dépendances est quelque chose à faire avec parcimonie.

Pour Lexpage, les contraintes fixent une version explicitement (de sorte à pouvoir reproduire l'environnement de prod à l'identique), mais pour la plupart de mes autres projets (publics ou pas), les contraintes sont plus souples, et j'utilise l'intégration continue pour vérifier que mes tests passent toujours avec des versions plus récentes des dépendances. L'avantage, c'est qu'en ayant des contraintes souples, tu limites les soucis de co-installabilité dans la plupart des packages managers (sauf si, comme npm, c'est déjà pris en compte "nativement", ou si tu fais usage d'environnements virtuels).

C'est une problématique qu'on a considéré (et qu'on considère encore) dans nos études des écosystèmes logiciels. On a notamment été surpris de la quantité de liens de dépendances dans certains écosystèmes (par ex, la profondeur médiane de l'arbre de dépendances des paquets périphériques dans Cargo est de 6 !! Vas-y pour vérifier tout ça à la main ), ou encore l'importance de certains paquets (on a identifié plusieurs centaines de paquets sur npm qui étaient requis, directement ou transitivement, par plus de 5% de tout le système, c'est-à-dire par plus de 20.000 autres paquets ! Oui oui, ça vous rappelle left-pad, c'est normal ). Si ça vous intéresse, le papier (une trentaine de pages) va bientôt être publiés chez Springer (mais je peux vous envoyer la version pré-print en privé).

Vu que cette "abondance" de dépendances augmente fameusement le risque de propager des problèmes (par ex, un changement incompatible upstream, qui casse le paquet dépendant, cassant lui-même ceux qui en dépendent et ainsi de suite), on s'est focalisé récemment sur les vulnérabilités des paquets npm. A partir d'une simple liste de 400 vulnérabilités (concernant un peu moins de 300 paquets différents sur npm), on obtient plus de 70.000 autres paquets vulnérables *au premier niveau de dépendances* (l'évaluation des contraintes de dépendances sur l'ensemble des versions disponibles prend trop de temps pour qu'on fasse ça transitivement, au moins pour l'instant). Oui, un bon gros sixième de tous les paquets npm ont été vulnérables à un moment ou à un autre à cause d'une de ces 400 vulnérabilités !

Pire : si ces vulnérabilités sont typiquement corrigées rapidement en upstream (il faut parfois 2 ans pour que la vulnérabilité soit découverte, mais la correction se fait en quelques mois généralement), on a pu constater que ce n'était pas le cas systématiquement dans les paquets qui en dépendent. Un peu moins de 50% des paquets dépendants sont corrigés "automatiquement" (parce que la contrainte autorise la release contenant le fixe), et sur les 50% restants, c'est variable : soit le paquet dépendant n'est pas à jour depuis un moment (même s'il est encore fortement téléchargé !) et donc est toujours vulnérable, soit il a été mis à jour mais sans pour autant modifier la contrainte permettant d'autoriser le fix (soit par ignorance de la vulnérabilité/fix, soit par précaution vis à vis d'un changement incompatible). Et pour ceux qui sont corrigés (mais pas automatiquement), on a mesuré que ça prenait beaaaaaucoup plus de temps (de mémoire, la probabilité que ça soit fixé dans les deux ans est de 50/50 seulement !). Bref, on a été surpris (même si on s'attendait à ce que les chiffres montrent tout ça, dans une moindre mesure) et on se dit que finalement, c'est pas le paquet "initialement vulnérable" qui est vraiment en cause, mais bien tous les échelons intermédiaires... (le papier est presque finalisé, je pourrai bientôt l'envoyer si certains le souhaitent).

Vu ces résultats, on a commencé à bosser sur le "technical lag" (c'est à dire le retard technique qu'un paquet peut avoir parce qu'il limite explicitement ou implicitement les versions installables de ses dépendances). Les calculs sont déjà faits (mais pas les analyses), j'espère que ça va donner de bons résultats (on s'attend à un retard technique important, que ça soit en terme de temps passé sans profiter de la mise à jour d'une dépendance, ou encore en terme de "distance de versions" (le nombre de majeurs/mineurs/patchs "ratés").

Intéressant tout ça :D
Vu qu'on doit indexer Springer bientôt au boulot, j'aurais peut être enfin tes publications sous la main.

Pour semver, je ne connaissais pas le nom mais il me semble que j'utilise tout de même en partie.
Ce qui ne m'empêche pas de devoir gérer des conflits de versionning relous entre des packages npm.
Je vais me caler ça dans mon onglet "à lire le jour où t'auras du temps soit pas dans les prochains mois".

yaugVu qu'on doit indexer Springer bientôt au boulot, j'aurais peut être enfin tes publications sous la main.

La majeure partie de mes publications sont chez ACM ou IEEE
Vous allez indexer la partie payante aussi de Springer, quelque soit le domaine, ou vous vous limitez à ce qui est publiquement disponible ?

On indexe tout pour les méta data. Ensuite les gens ont la possibilité d'aller sur le site du publisher.
Les métadatas nous servent déjà pas mal donc c'est toujours pratique.

ACM ou IEEE ?
Mais tu le fais exprès pour que je ne t'indexe pas en fait :D
Mais du coup ça me file des idées à soumettre.

Si ça peut t'aider, je suis aussi publié dans Lecture Notes in Computer Science, RAIRO ITA (Theoretical Informatics and Applications), et CEUR (moins "officiel"). Mais c'est surtout chez IEEE que sont mes publis, et un peu chez ACM (ce sont les "classiques" pour les proceedings de conférence, les (chapitres de) livres ou les journaux). Ah oui, et d'ici quelques jours/semaines, je serai aussi chez Springer

C'est pas très open science tout ça mon bon monsieur :D

On n'a pas trop le choix, ce sont les organisateurs de conférences qui décident... Mais je publie toujours les preprint en open access