Le DevFest de cette année a fait vibrer la communauté technologique il y a seulement 10 jours ! Chaque année, cet événement incontournable attire des centaines de développeurs passionnés désireux d'approfondir leurs connaissances sur les technologies actuelles et émergentes.
Cette édition particulière s'est démarquée par son nouveau format sur 2 jours, rendant le DevFest encore plus captivant et enrichissant pour tous les participants. Les deux journées ont été remplies de conférences animées par des speakers aussi experts que variés.
Pour ceux qui n'ont pas pu assister à toutes les sessions, pas de panique ! Nous allons vous partager les moments forts de la première journée 🙂
Cette année, notre stand était inspiré par l'esprit des Jeux Olympiques, offrant une variété d'activités captivantes. En plus du traditionnel jeu "Combien de peluches dans le sac ?", nous avons introduit de nouvelles attractions telles que le beer pong et un jeu de basket. Ces trois activités ont attiré plus de 350 personnes sur notre stand, offrant une expérience ludique et engageante à tous les participants du DevFest.
Et maintenant, zoom sur les conférences de la journée !
Faire évoluer vos APIs HTTP, une approche pas-à-pas
La conférence a exploré la compréhension de REST et l'évolution des APIs. Voici les points clés abordés :
- Evolution des serveurs web.
- Naissance des APIs.
- Apache APISIX.
- Gestion des versions d'API.
- Gestion des utilisateurs et test en production.
- Dépréciation des endpoints.
Points clés à retenir
- Utiliser une API gateway pour la gestion des versions.
- Mettre en place un processus d'inscription.
- Utiliser des redirections 301.
- Monitorer la consommation des APIs HTTP.
Plongée dans l'univers de Apache Kafka @ Michelin: l'équilibre entre Dev et Ops
Tanguy Sironneau a partagé un retour sur la conférence sur l'utilisation d'Apache Kafka chez Michelin, abordant les défis de l'équilibre entre développement et opérations (Dev et Ops).
- Mutualisation du code boilerplate :
- Michelin a créé une bibliothèque commune pour le code des producteurs et consommateurs Kafka.
- Les équipes peuvent ainsi se concentrer sur le code métier.
- Gestion des clusters Kafka :
- Utilisation d'un schéma namespace/ressource inspiré de Kubernetes pour organiser et industrialiser les clusters.
Cette conférence a présenté des solutions pratiques pour optimiser l'utilisation d'Apache Kafka, en simplifiant le développement et en améliorant la gestion des clusters.
IA-404 : Explication not found
La conférence a abordé les défis de l'explicabilité des décisions prises par l'intelligence artificielle (IA). À l'avenir, les IA pourraient décider de l'octroi de crédits bancaires sans explications claires, contrairement aux algorithmes simples que les banquiers comprennent.
Points clés à retenir
- Explicabilité (XAI) :
- Supprimer l'effet boîte noire des IA en expliquant leurs décisions.
- Exemple : expliquer pourquoi une IA reconnaît un chat dans une image en identifiant les pixels et les zones pertinentes.
- Enjeux éthiques et risques :
- Éviter les biais et la discrimination.
- Garantir l'égalité de traitement et la conformité avec les principes de vigilance et de loyauté.
La cybersécurité va bien au-delà des simples failles applicatives. Il est crucial de comprendre les détournements d'usage, les techniques de dissimulation comme la stéganographie, et les attaques par canal auxiliaire pour protéger efficacement les systèmes. Sonia, forte de six années d'expérience dans les compétitions de Capture The Flag (CTF), a partagé son expertise en illustrant comment ces concepts jouent un rôle fondamental dans la défense contre les cyberattaques.
Quand la cybersécurité n'est pas qu'une affaire de failles
Sonia a partagé son expérience de six ans dans le domaine de la cybersécurité à travers des compétitions de Capture The Flag (CTF), en mettant l'accent sur l'importance de comprendre le détournement d'usage (usage cata-chrétique) et les techniques de dissimulation dans la cybersécurité.
Points clés à retenir
- Usage cata-chrétique :
- Détournement d'usage des objets pour des attaques.
- Exemple : hackers utilisant un meuble de façon inattendue, comme une grande télévision sur un meuble non prévu pour cela.
- DNS Tunneling :
- Technique pour faire entrer ou sortir des données d'un réseau en utilisant des requêtes DNS.
- Permet à une machine infectée de contacter une Command and Control (C2) malgré les pare-feu.
- Stéganographie :
- Art de la dissimulation d'informations dans des médias comme le texte et les images.
- Utilisation du Least Significant Bit (LSB) dans les images BMP et de caractères unicode invisibles dans le texte pour masquer des données.
- Feedback incontrôlé et attaques par canal auxiliaire (Side Channel Attack) :
- Analyse des effets secondaires d'un système pour déduire des informations sensibles.
- Exemples : détecter l'existence d'un compte e-mail par la différence de temps de réponse, ou analyser les touches tapées via le bruit mécanique enregistré par un microphone.
Mon setup DevContainer: un poste de développement, reproductible et flexible
Points clés à retenir
- DevContainer :
- Utilise Docker et JSON pour définir un environnement de développement préconfiguré et isolé.
- Démo avec VSCode : création d'un projet Spring Boot sans nécessiter Java/Maven installés localement.
- DevContainer permet d'isoler et de porter l'environnement de développement, facilitant le travail en équipe.
- Utilisation à distance :
- Services comme GitHub CodeSpace et GitPod utilisent DevContainer pour offrir des environnements de développement à distance.
DevContainer offre une solution flexible et reproductible pour un environnement de développement isolé et portable.
OpenTelemetry: vous ne pourrez plus vous passer de monitoring en prod
Résumé de la conférence
La conférence a mis en avant l'importance du monitoring en production à travers l'outil OpenTelemetry, en utilisant une analogie avec des enfants calmes (microservices sans bruit) qui peuvent indiquer des problèmes cachés. Voici les points clés abordés :
Points clés à retenir
- Pourquoi monitorer ? :
- Connaître son système, dimensionner, alerter.
- Basé sur une expérience dans le e-commerce.
- Données de télémétrie :
- Logs, metrics (techniques et business), traces distribuées.
- OpenTelemetry :
- Projet open source et framework pour la collecte de données.
- Intégration dans divers langages, création d'un standard pour les données de télémétrie.
- Ne remplace pas des outils comme Datadog ou Dynatrace, mais collecte uniquement des données.
- Instrumentation et exportation :
- Annotation des microservices ou agent dans les images Docker.
- Exportation via un backend ou un collecteur OTEL pour abstraction.
- Déploiement dans Kubernetes avec un opérateur, un collecteur et une auto-instrumentation.
- Visualisation et gestion :
- Visualisation des traces dans Grafana Tempo, des logs dans Grafana Loki, et des metrics dans Prometheus.
- Utilisation du Horizontal Pod Autoscaler (HPA) pour adapter le nombre de microservices selon la charge.
OpenTelemetry propose un standard et un framework pour la collecte des metrics, logs et traces, rendant le monitoring en production plus structuré et efficace.
Sécurité automatisée: regardez vos failles en face
Résumé de la conférence
La conférence a souligné l'importance de la sécurité automatisée pour identifier et résoudre les failles de manière proactive. Voici les points clés abordés :
Points clés à retenir
- Automatisation de la sécurité :
- Intégration de la sécurité dès les phases de développement avec automatisation pour faciliter la vie des développeurs.
- Utilisation d'outils comme Semgrep pour l'analyse statique du code et OWASP Juice Shop pour tester les vulnérabilités.
- Défis et solutions :
- Complexité des failles (50 CVE découvertes par jour) et manque de responsabilité claire.
- Importance de prendre en compte les failles métiers et de réduire les faux positifs.
- Pratiques recommandées :
- Application du Lean et du QRQC pour une amélioration continue et une réaction rapide aux problèmes de sécurité.
- Utilisation de dashboards comme spring-access-inspector pour vérifier automatiquement les autorisations.
- Actions à mettre en place :
- Automatisation des vérifications post-mortem des vulnérabilités.
- Utilisation de fitness functions pour vérifier l'architecture du code et l'ajout correct d'annotations.
La sécurité automatisée est essentielle pour impliquer l'ensemble des équipes (business, cyber et développement), identifier efficacement les failles et assurer une réaction rapide et proactive.
La dette technique : comment communiquer dessus à l'ensemble des équipes, au-delà de la technique
La conférence a abordé la manière de sensibiliser toutes les équipes à la dette technique, souvent mal comprise. Voici les points essentiels :
Points clés à retenir
- La dette technique est comme un emprunt à rembourser, liée à des décisions techniques et des compromis.
- Elle n'est pas toujours intentionnelle et peut résulter de lacunes dans les processus ou de manque de visibilité.
- Elle impacte le leadership, les développeurs et les utilisateurs, mais n'est pas toujours négative.
- Communiquer efficacement sur la dette technique est essentiel pour sa gestion et sa réduction.
Dans cet article, vous avez découvert les résumés des conférences du jour 1 du DevFest 2024 ! Le reste arrive bientôt… :)
Et pour ceux qui sont impatients, vous pouvez voir la rediffusion ici : https://www.youtube.com/playlist?list=PLuZ_sYdawLiXf92Uq5iE5LlYKrOv1IUvx