13 liens privés
La programmation assistée par l'intelligence artificielle.
Vous voyez, quand vous allez sur un projet Github. Prenons par exemple le projet de YouTube DL. Voici l’URL du dépôt :
https://github.com/ytdl-org/youtube-dl
Et bien il vous suffit simplement de remplacer le .com dans l’URL par un .dev comme ceci :
https://github.dev/ytdl-org/youtube-dl
Et vous tomberez sur un éditeur web Visual Studio qui embarquera tout le projet en question. Apparemment, il y a également un raccourci clavier qui malheureusement ne fonctionne pas chez moi, mais vous pouvez toujours essayer. Il suffit d’appuyer sur la touche « . » (point) de votre clavier pour être redirigé vers l’éditeur.
Dans cet éditeur vous pourrez évidemment consulter l’ensemble des sources du projet, mais également les modifier et pousser vos changements sur le github directement.
L’affaire a fait grand bruit en ce début de mois et a secoué le petit monde des libristes, makers adeptes du nano ordinateur rasperryPI. Pour résumer rapidement , les utilisateurs de la distribution officielle raspberrypi OS (dérivée de debian) ont pu constater du jour au lendemain l’apparition dans les sources de leurs dépôts d’une nouvelle adresse pointant chez microsoft. Le problème n’étant pas forcément Microsoft mais surtout la méthode insidieuse employée par la fondation Raspberry pour pousser des dépôts tiers sans le consentement de ses utilisateurs. Un grave manque de transparence qui a choqué la communauté. Alors quelles solutions pour y remédier?
Donc la fondation Raspberry a ajouté VSCode à Raspbian (dérivé de Debian), en ajoutant les dépôts Microsoft. Sans prévenir les utilisateurs.
Donc à chaque fois que vous faites une mise à jour sur votre OS, ça ping les serveurs de Microsoft.
Donc en gros tous les Raspberry pinguent les serveurs de Microsoft à chaque mise à jour.Encore plus rigolo: ça installe les certificats Microsoft de signature de paquets.
Et donc votre distribution installera sans broncher les dépendances que Microsoft jugera bon d'installer. Depuis les dépôts Microsoft.Voilà pourquoi quand il s'agit de logiciels auxquel je n'accorde qu'une confiance limitée:
- je ne les installe pas en ajoutant dépôt+clé du dépôt, mais juste avec le .deb.
- et après installation du .deb, je vérifie qu'il n'a pas ajouté une source apt et une clé.
- je fais tourner ces logiciels dans firejail pour qu'ils n'accèdent pas à mes fichiers personnels.
Faites attention aux dépôts que vous ajoutez à votre distribution: Le dépôt peut vous installer n'importe quoi à l'occasion d'une mise à jour.
Faites-vous confiance au dépôt que vous avez ajoutés ?EDIT: Voici le commit à la source du problème: [https://github.com/RPi-Distro/raspberrypi-sys-mods/commit/655cad5aee6457b94fc2336b1ff3c1104ccb4351]
