Wikio est une société française qui propose un classement des blogs les plus influents: il propose un système de tags et de votes permettant de retrouver quel contenu est populaire – système qui n’est pas sans rappeler ce que nous proposons sur http://responcia.net, en nettement plus simple.
Wikio propose également un classement par thématique, et quelle ne fut pas notre surprise de votre le blog de Responcia n°15 de la section « logiciels libres », juste après le blog de Mandriva! Même si cette société a eu beaucoup de difficultés ces dernières années, être juste derrière elle reste un honneur.
Mais au fait, pourquoi le système de tags de Wikio est-il « nettement plus simple » que celui de Responcia? Ils ne font pas de calculs d’agrégats sur les tags, ce qui est la grosse plus-value de http://responcia.net: c’est ainsi que nous pouvons dire automatiquement que « Spring » est un tag populaire à l’intérieur du tag « Java« , et que nous pouvons croiser les tags – par exemple Spring et Java. Responcia utilise ainsi au maximum l’information disponible, et peut vous proposer les tags qui vont vous intéresser en fonction de ce que les autres utilisateurs ont taggé.
Il y a un peu plus de deux semaines, Responcia annoncait qu’une faille de sécurité critique avait été découverte dans Spring: c’était le lendemain de la découverte de cette faille, et nous proposions déjà deux solutions au problème.
Pour information, cette faille a été officiellement annoncée par SpringSource 5 jours plus tard (cf. http://www.springsource.com/security/cve-2010-1622 ), mais elle était en fait déjà corrigée depuis près d’un mois (https://fisheye.springsource.org/changelog/spring-framework?cs=3374 ), preuve que l’éditeur avait bien été prévenu de la faille à l’avance.
Nous attendions avec impatience de pouvoir étudier cette faille, ce qui a été fait de manière détaillée par ce site: http://blog.o0o.nu/2010/06/cve-2010-1622.html
Le bug permet donc bien d’injecter un code « malicieux » dans une application Web:
- si le serveur d’application a accès à Internet et
- que l’application utilise Spring MVC (toutes les applications Spring n’utilisent pas Spring MVC) et,
- que l’utilisateur utilise une page JSP non compilée suite à l’injection de code et,
- que cette dernière page utilise la tag librairie infectée.
Cela reste possible mais c’est tout de même un peu tiré par les cheveux… Par exemple, http://responcia.net n’était finalement pas affecté par la faille: nous n’utilisons pas les « form backing objects » de Spring MVC.
Bref, la faille n’était pas si importante, mais il est intéressant de pouvoir en lire l’étude, et de prendre conscience des risques que nous font courir de ce genre de failles.
Si vous utilisez Java, vous êtes déjà allés sur http://java.sun.com. C’est le site officiel de Java, hébergé par Sun, et maintenant Oracle (qui a racheté Sun).
A l’heure où cet article est publié, le premier lien de cette page, « Introduction to Jersey—a Standard, Open Source REST Implementation, Part 1 » pointe vers un article écrit par Julien Dubois, l’auteur de ce blog et le responsable de Responcia. C’est, à notre connaissance, la première fois qu’une société française a ainsi un article publié sur le site principal de Java.
Cet article est le premier d’une série de 4 articles qui seront publiés à tour de rôle sur java.sun.com, et qui traitent essentiellement de Jersey et de JQuery: vous y apprendrez comment réaliser un back-end en suivant les principes REST, comment réaliser une interface graphique moderne avec JQuery, et comment connecter l’ensemble avec des requêtes AJAX. Bref, une passionnante saga de l’été!
A l’heure où les SSII se transforment en de simples fournisseurs de main d’oeuvre, et où les sociétés d’interim telles que Manpower viennent les concurrencer, nous voyons en cette série d’articles une nouvelle occasion de mettre en avant notre différence: l’expertise technique ne doit pas être simplement du pipeau commercial, c’est une recherche, un travail, une expérience, un art qui doit être développé et qui a une valeur pour les clients qui veulent réussir leurs projets.
Cet article est un test de bon fonctionnement de la migration à WordPress 3.0.
Cette nouvelle version de WordPress devrait nous permettre de vous proposer un blog plus agréable à utiliser, avec de nombreuses nouvelles fonctionnalités.
Chez Responcia, nous pensons embaucher un ou plusieurs consultants juste après l’été. Et bien entendu se pose la question du salaire.
Pour avoir travaillé dans pas mal de sociétés, y compris américaines, je me rends compte d’une grande différence entre les sociétés françaises et les sociétés anglo-saxonnes: en France, les consultants n’ont pas de vrai variable.
Commençons par définir ce que nous appelons un variable: il s’agit d’un calcul mathématique en fonction des performances de la personne, par exemple en fonction des ventes ou du nombre de jours facturés réalisés. En effet, on voit très souvent en France des variables calculés sur des bases très subjectives: « la réussite du projet » ou « la bonne intégration à l’équipe » (deux points issus de vrais objectifs que j’ai eu personnellement dans une grande SSII française). Ces variables sont mauvais à 3 niveaux:
- Ils sont illégaux, car en France le variable doit être quantifiable. Ce n’est pas quelque chose qui se négocie en fin d’année, ou qui se décide « à la tête du client ». C’est d’ailleurs pour cela que dans 90% du temps tout le monde a son variable, car l’employeur sait qu’il n’est pas en position de force.
- Ce sont en fait plutôt des « malus » pour les personnes qui ne les ont pas: vous n’avez pas réussi à vous « intégrer dans l’équipe » et donc vous n’avez pas votre variable. Double peine pour vous: vos collègues ne vous aiment pas et cela vous coûte votre variable. Bon courage pour continuer!
- Ils ne sont pas suffisamment motivants financièrement, car généralement très peu élevés (moins d’un mois de salaire).
Personnellement, un variable motivant me parait être:
- Calculé mathématiquement en fonction de critères objectifs: x% du chiffre d’affaires généré, ou des paliers en fonction du nombre de jours facturés ( x € si vous êtes facturés plus de 10 jours par mois en moyenne, y € si vous dépassez les 15 jours, etc…).
- Ne pas être cappé, c’est-à-dire ne pas avoir de maximum: si vous réalisez 200 K€ de chiffre d’affaire, vous devriez avoir une prime proportionnelle.
- Etre financièrement intéressant, c’est-à-dire représenter une part non négligeable du salaire.
Ainsi, je pense qu’il serait plus motivant d’avoir un salaire fixe de 20% inférieur à la normale, associé à un variable permettant « normalement » d’atteindre 100%, et surtout permettant de le dépasser sans problème en cas de réussite particulière.
Par contre, et c’est là toute l’idée de ce post: pourquoi est-ce que personne ne propose ce type de contrat en SSII en France, alors que cela semble relativement commun à l’étranger?
- Est-ce que ce sont les employés qui refusent ce type de contrat? Parce qu’ils ont peur du risque, ou pour une autre raison?
- Est-ce que ce sont les employeurs qui ne proposent pas ce type de contrat? Parce qu’ils ne veulent pas partager les bénéfices si l’employé travaille bien?
Attention, une faille de sécurité vraiment critique dans le code de Spring a été annoncée hier. Généralement les « failles de sécurité » que l’on voit sur Spring sont assez ridicules, à croire que certains « experts » veulent profiter de la notoriété de Spring pour se mettre en valeur… Cependant, la faille annoncée hier semble nettement plus sérieuse que d’habitude. D’une part parce qu’elle vient de l’équipe de sécurité de Google, et d’autre part parce que l’explication semble tenir la route:
http://www.securityfocus.com/archive/1/511877
Bien entendu, ils ne donnent pas suffisamment d’informations pour que l’on puisse réellement reproduire la faille (et heureusement). Par contre j’ai l’impression que cette faille doit concerner en particulier les utilisateurs de Spring MVC (dont Responcia fait bien entendu partie).
J’espère que nous pourrons étudier cette faille plus en détail bientôt, mais l’urgence aujourd’hui est de patcher ses applications!! C’est pourquoi je poste ce blog juste après avoir mis à jour http://responcia.net en Spring 3.0.3.
Que faire pour se prémunir de cette faille?
Si vous ne pouvez pas patcher votre serveur immédiatement, le mieux est de mettre une règle dans votre firewall pour lui interdire d’aller télécharger des fichiers sur Internet, ce qui est à l’origine de la faille (le JAR infecté est téléchargé via une URL). C’est généralement déjà le cas en entreprise.
Bien entendu, le mieux est de patcher le plus vite possible votre application, d’autant que les correctifs sont déjà disponibles, aussi bien en Spring 3 qu’en Spring 2.5 (à noter que les clients de SpringSource ont alors une version mineure d’avance, ils sont en 2.5.7 alors que le grand public est en 2.5.6).
Pour information, le repository Maven central est déjà à jour, et pour Spring 3.0 le numéro de version précis à utiliser est le « 3.0.3.RELEASE ». Je pense même que cette release a été faite spécialement, ou sinon le hasard a vraiment bien fait les choses, même si cela n’est pas indiqué dans les notes de release.
Elastic Path est l’un des rares moteurs de e-commerce Open Source disponibles en Java. En fait, Elastic Path est basé sur Spring 2 et JPA, c’est dire à quel point cette solution peut être intéressante en termes d’intégration!
Dans le cadre de ses retours sur expérience « Open Rex », Ippon technologies vous propose de découvrir le 24 juin comment cette solution a été mise en œuvre chez une grande marque de luxe. Pour bien connaitre l’un des speakers (Pascal Poussard, que j’ai eu l’honneur d’avoir dans mon équipe à 2 reprises), je vous recommande chaudement de participer à cette conférence!
Pour les détails et les inscriptions, rendez-vous sur le site d’Ippon Technologies.
Nous avions annoncé il y a peu un accord entre Responcia et un très gros éditeur de logiciel: on peut difficilement faire mieux qu’Oracle, l’un des plus gros éditeurs au monde, et maintenant le responsable du développement du langage Java (suite au rachat de Sun).
Oracle est donc maintenant l’un des clients de Responcia. D’ici une semaine ou deux nous espérons pouvoir en dire plus!
Pour information, le logo d’Oracle n’est malheureusement pas affiché sur notre site pour des raisons de licence, mais nous tenons à saluer Oracle qui nous a très rapidement donné son accord pour les citer en tant que client, ce qui reste aujourd’hui assez exceptionnel (bien entendu nous ne citons nos client qu’après accord écrit de leur part).
Les annotations, apparues avec Java 5, ont révolutionné notre manière de coder.
En particulier, les applications Spring+Hibernate ont très nettement gagné en souplesse et rapidité de configuration. C’est notamment grâce aux annotations que Spring MVC est devenu un framework agréable et productif, tout à l’opposé de Struts. De même, pour les utilisateurs d’AOP, écrire des pointcuts est maintenant devenu presque facile!
Pour mieux connaitre le fonctionnement des annotations, nous vous conseillons fortement le conférence organisée Olivier Croisier (consultant
chez Zenika et auteur du blog The Coder’s Breakfast ), qui aura lieu le 29 Juin (inscription et détails ici). Et encore félicitations à Olivier pour être passé ce mois-ci « Java Specialist« , un titre amplement mérité!
Un peu plus d’un mois après le lancement de http://responcia.net, nous venons de faire une mise à jour assez importante du logiciel, et qui mérite quelques éclaircissements via ce blog.
La partie la plus visible concerne la charte graphique: nous avons essayé de satisfaire les nombreux commentaires à ce sujet, et même si cette nouvelle version devra encore être améliorée, elle est nettement plus claire et agréable que l’ancienne.
Mais la partie la plus importante concerne les fonctionnalités: la principale nouveauté concerne la possibilité d’éditer ses questions et ses réponses. Cette évolution a été décidée après de longues discussions, car ce système pourrait être mal utilisé. Mais les avantages de ce système dépassent nettement ses inconvénients: en effet, notre but est de proposer « la meilleure réponse à la meilleure question », et pour cela il faut que les auteurs des questions et des réponses puissent les corriger en fonction des commentaires.
Cela renforce encore les singularités de responcia.net par rapport à developpez.com, le principal site concurrent francophone:
- Nous avons un système d’étiquettes nettement plus élaboré, avec la possibilité de croiser ses étiquettes et de voir les étiquettes proches des siennes
- Nous avons un système de vote qui permet de faire ressortir les meilleures questions et les meilleures réponses, tout en proposant un système de commentaires qui permet la discussion
- Notre moteur de recherche spécifique est capable d’utiliser ces étiquettes et ces votes pour pousser les informations les plus pertinentes, en temps réel
- Il est maintenant possible d’éditer ses questions et ses réponses pour améliorer encore la qualité du résultat
- Nous espérons avoir une ergonomie plus agréable, mais c’est là totalement subjectif
- Et le tout toujours sans publicité!
Si vous avez des remarques sur ce nouveau site, n’hésitez pas à les poster en commentaire.
