Mes activités libres en novembre 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 21,25 heures de travail sur Debian LTS qui ont été subventionnées. Elles ont été consacrées aux tâches suivantes :

  • Du 2 au 8 novembre, je me suis occupé du support LTS : triant les nouvelles vulnérabilités CVE, créant des rapports de bogue, et répondant aux échanges sur les listes de diffusion. J’ai poussé 26 commits vers le suiveur de sécurité. Alors que j’analysais la CVE-2015-7183, j’ai découvert d’autres copies embarquées de nspr (ce qui a eu pour conséquence la création du n°804058). J’ai également ajouté un commentaire à la discussion sur le correctif amont pour la CVE-2015-5602, qui semblait incomplet en l’état;
  • J’ai préparé et publié la DLA-339-1 concernant libhtml-scrubber-perl, corrigeant une vulnérabilité CVE;
  • J’ai préparé et publié la DLA-350-1 concernant eglibc, et issue d’un rétroportage non-trivial, corrigeant une vulnérabilité CVE;
  • J’ai préparé et publié la DLA-353-1 concernant imagemagick et corrigeant deux failles de sécurité non encore déclarées comme CVE (j’en ai marqué une comme n’affectant pas Squeeze);
  • J’ai ajouté un troisième patch à ma mise à jour – toujours en suspens – de bouncycastle, suite à sa revue par l’auteur amont. Ce dernier m’a demandé de retarder encore cette mis à jour, dans l’attente d’autres correctifs connexes qui devraient arriver;
  • J’ai initié la correction de la DLA-352-1, en identifiant les commits amont qui corrigeaient cette faille de sécurité;
  • J’ai passé un peu de temps à contrôler les tickets assignés depuis longtemps mais sans aucun progrès visible depuis, dans l’espoir de les débloquer (libvncserver, pound, quassel).

Cahier de l’Admin Debian

Maintenant que la version anglaise pour Debian 8 Jessie a été finalisée (j’ai envoyé le paquet vers Debian unstable), je concentre mes efforts sur la version française. Le livre a été intégralement traduit et nous sommes maintenant en train de finaliser la version papier, que les éditions Eyrolles vont, comme pour les précédentes éditions, publier.

Paris Open Source Summit

J’étais présent à Paris les 18 et 19 novembre derniers pour l’Open Source Summit de Paris. J’ai aidé à tenir le stand Debian France durant deux jours (avec l’aide de François-Régis et plusieurs autres personnes).

François-Régis Vuillemin, Juliette Belin and Raphaël Hertzog
François Vuillemin, Juliette Belin and Raphaël Hertzog

Nous avons eu la visite sur notre stand de Juliette Belin, qui a créé le thème et les illustrations de Debian 8 Jessie. Nous manquions de goodies mais nous avons organisé une loterie pour gagner 12 des exemplaires de la version française de mon livre.

Travaux d’empaquetage Debian

Django Après deux mois de travaux préparatoires sur les dépendances inverses, j’ai poussé Django 1.8 vers unstable, et augmenté la criticité des bogues restants. J’ai par la suite poussé une nouvelle version mineure amont (1.8.6). Je me suis également occupé d’un bogue critique touchant la publication, tout d’abord en ouvrant un rapport auprès de l’amont, puis en écrivant et soumettant à l’amont un patch. J’ai enfin envoyé vers les dépôts Debian la version 1.8.7-2 accompagnée de mon patch.

Un autre petit correctif que j’avais soumis a été rejeté, car la page du manuel est générée via Sphinx. J’ai donc du remonter un bogue concernant Sphinx (visible ici). Dans l’intervalle, une solution de contournement a été trouvée.

NMU pour apt-xapian-index Il y a très longtemps, j’ai remonté un bogue critique pour la publication concernant ce paquet (le n°793681). Mais le mainteneur ne s’en est pas occupé. Fort heureusement Sven Joachim a préparé un envoi en tant que non-mainteneur, et je n’ai eu qu’à pousser son travail. Cela a eu pour conséquence un autre problème causé par des changements dans la complétion Bash. Problème que Sven a rapidement corrigé, et dont j’ai poussé une deuxième fois le travail quelques jours plus tard.

Gnome-shell-timer J’ai transféré le n°805347 vers le problème gnome-shell-timer n°29, mais gnome-shell-timer a été abandonné par l’amont. Sur une suggestion de Paul Wise, j’ai essayé de faire en sorte que cette sympathique extension soit intégrée dans gnome-shell-extensions. La requête a été rejetée. Y a-t-il quelqu’un de compétent en Javascript qui souhaiterait adopter ce projet en tant que développeur amont ? Il s’agit d’un projet requérant un faible travail de maintenance, avec une base utilisateurs conséquente et fidèle.

Divers J’ai corrigé le bogue n°804763 affectant zim, qui était la conséquence d’un mauvais patch spécifique à Debian. J’ai parrainé l’envoi de pylint-plugin-utils_0.2.3-2.dsc de Joseph Herlant, afin de corriger un bogue critique pour la publication. J’ai créé le rapport n°806237 concernant lintian. J’ai également créé d’autres rapports de bogues pour l’amont, en lien avec mes travaux sur Kali : un concernant sddm, un autre concernant john.

Autres travaux en relation avec Debian

Distro-Tracker J’ai finalement intégré le travail d’Orestis Ioannou concernant le bogue n°756766, qui apporte la possibilité de naviguer parmi les infos précédentes de chaque paquet.

Installeur Debian J’ai implémenté deux petites fonctionnalités que nous souhaitions avoir dans Kali : j’ai corrigé le bogue n°647405, ce afin de disposer d’un moyen de désactiver les lignes « deb-src » dans les fichiers sources.list générés. J’ai également créé le rapport de bogue n°805291, dont l’objet est de savoir comment permettre à la préconfiguration de l’invite de commande du kernel de prendre le pas sur celle d’initrd… la correction en est triviale et cela fonctionne déjà dans Kali. Il me suffit juste de pousser la modification dans Debian, j’espérais juste une validation d’un responsable Debian avant de l’envoyer.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in November 2015 contribuée par Weierstrass01.

Mes activités libres en octobre 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 13,25 heures de travail sur Debian LTS qui ont été subventionnées. Elles ont été consacrées aux tâches suivantes :

  • J’ai préparé et publié la DLA 330-1, corrigeant deux vulnérabilités CVE affectant unzip;
  • J’ai préparé une mise à jour de bouncycastle corrigeant la vunérabilité CVE-2015-7940 (après avoir demandé l’assignation d’un numéro CVE, personne ne l’ayant fait auparavant). Je n’ai pas encore publié la DLA correspondante, car j’attends une revue de code par un des auteurs amont. Il s’agit d’un code de chiffrement Java qui n’était absolument pas trivial à rétroporter, je souhaite donc être certain de n’avoir rien cassé. Les patchs sont accessibles via le rapport de bogue n°802671 que j’ai ouvert;
  • J’ai testé la mise à jour vers MySQL 5.5 avec de multiples paquets et fait part de mes découvertes sur la liste de diffusion debian-lts.

J’ai également initié une discussion sur les travaux que les contributeurs rémunérés pouvaient entreprendre s’ils avaient un peu de temps disponible, dans la mesure où le niveau de financement actuel peut nous permettre d’investir un peu de temps sur autre chose que les mises à jour de sécurité.

Cahier de l’Admin Debian

J’ai passé pas mal de temps à la finalisation de la mise à jour du livre pour Jessie, à la fois pour ce qui est du contenu et ce qui concerne la mise en page de la version papier.

Debian Handbook: cover of the jessie edition

Divers travaux Debian

GNOME 3.18. J’ai envoyé une nouvelle version de gnome-shell-timer compatible avec GNOME Shell 3.18, et créé les rapports de bogue n°800660 et n°802480 concernant une ennuyeuse régression de gnome-keyring… J’ai réalisé de nombreux tests avec le mainteneur Debian (Dmitry Shachnev, merci à lui !) et les développeurs amont (cf. ici et ). Mises à part ces régressions, j’aime beaucoup GNOME 3.18 !

Migration de l’équipe python-modules vers Git. Après la migration vers Git, et puisque la politique de l’équipe impose maintenant l’utilisation de git-dpm pour tous ses membres, j’ai fait quelques essais avec ce dernier sur le paquet python-django, alors que je poussais sa version 1.8.5 vers experimental. Et le moins que je puisse dire est que je ne suis pas satisfait du résultat. J’ai rapporté 3 bogues synthétisant les problèmes que j’ai rencontrés avec git-dpm : n°801666 (aucun moyen de définir les noms de branches amont depuis le dépôt), n°801667 (aucun moyen satisfaisant de fusionner différentes branches d’empaquetage) et n°801668 (la création du tag amont n’est pas immédiate lors de l’import du tarball). Ces trois-là ne sont qu’une sélection parmi d’autres bogues ridicules déjà remontés tels que le n°801548 (ne marche pas avec des tags amont pré-existants et parfaitement valides).

Empaquetage Django. J’ai créé des rapports de bogue pour tous les paquets ayant des dépendances de compilation vers python-django qui échouaient à la compilation avec Django 1.8, et j’ai informé les mainteneurs que j’enverrai Django 1.8 vers unstable début novembre (ce qui est déjà fait). J’ai ensuite moi-même corrigé python-django-jsonfield, car le Distro Tracker dépend directement de ce paquet.

A la suite de cette remontée de bogues en masse, j’ai demandé une amélioration du paquet devscripts, et plus précisément du script « mass-bug » (cf. le n°801926). Et puisque j’ai utilisé « ratt » pour recompiler les paquets, j’ai créé une demande d’évolution pour ce nouvel outil également.

Mise à jour vers Tryton 3.6. J’ai mis à jour mon installation de Tryton vers la version 3.6, et créé le rapport de bogue n°803066 pour remonter le mauvais fonctionnement du script d’init SysV. Ce qui m’a rappelé que le processus de nomination au statut de Développeur Debian de Matthias Behrle (le mainteneur du paquet tryton) était à l’arrêt, du fait d’un bogue dans l’infrastructure NM. J’ai donc contacté l’équipe NM et nous avons trouvé un moyen de relancer le processus…

Distro Tracker. J’ai continué mon travail de refactorisation du processus de gestion des emails entrants (branche people/hertzog/mailprocessing). C’est à peu près finalisé et je dois maintenant l’éprouver dans un environnement de test, avant d’être capable de le déployer sur tracker.debian.org.

Cherche traducteur et relecteur pour le livre « Free Culture » de Lawrence Lessig

Ce n’est pas strictement lié à Debian, mais je voulais relayer un appel à l’aide de Benoît Guillon (l’auteur de dblatex qui m’a beaucoup aidé lorsque je travaillais sur la version anglaise du cahier de l’admin Debian) qui s’est lancé dans la traduction française du livre « Free Culture » de Lawrence Lessig.

Il cherche donc des relecteurs et des traducteurs et s’est associé avec Petter Reinholdtsen (un développeur Debian de longue date, qui travaille sur la traduction norvégienne du même livre) pour gérer cette traduction dans son dépôt git.

La traduction est géré sous Transifex:
https://www.transifex.com/pere/free-culture-lessig/

Le livre est sous licence Creative Commons (mais avec une restriction pour l’usage commercial apparemment). Le brouillon actuel est disponible ici.

N’hésitez pas à vous mettre en relation avec Benoît si vous êtes intéressé et/ou si vous voulez plus d’informations.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in October 2015 contribuée par Weierstrass01.

Mes activités libres en septembre 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 8 heures de travail sur Debian LTS qui ont été subventionnées. Ce temps a été consacré en grande partie au tri de vulnérabilités CVE (ces 3 derniers jours, sachant que je suis de « guichet LTS » cette semaine). J’ai poussé 14 commits vers le suiveur de sécurité cette semaine. Parmi ceux-ci se trouvaient plusieurs vulnérabilités CVE pour lesquelles aucune investigation n’avait été réalisée au préalable. J’ai en conséquence contrôlé le statut de ces dernières dans Wheezy et Jessie, en plus de Squeeze.

Hors temps rémunéré, j’ai écrit et envoyé le résumé de la session de travail ayant eu lieu durant la DebConf. J’ai également essayé d’initier une discussion sur une mise à disposition de mysql-5.5 dans Squeeze-LTS. Nous avons de plus mis en place lts-security@debian.org, afin de mieux gérer les mises à jour placées sous embargo.

Cahiers de l’Admin Debian

Debian Handbook: cover of the jessie editionJ’ai consacré ce mois-ci un temps conséquent à mon livre. La mise à jour du contenu est terminée, et maintenant nous en sommes à la relecture, avant la préparation de l’édition papier. J’ai également commencé sa traduction en français. Vous pouvez aussi aider à sa relecture.

En travaillant sur le livre, j’ai remarqué que snort ainsi que la politique SE Linux de référence avaient été retirés de Jessie. J’ai envoyé un email à leurs mainteneurs pour leurs conseiller de les proposer a minima via jessie-backports… Ces paquets sont relativement importants/populaires, et c’est bien dommage de ne pas les avoir dans Jessie.

J’espère avoir fini la mise à jour du livre dans deux semaines !

Distro Tracker

J’ai passé beaucoup de temps à revoir la gestion des emails dans Distro Tracker. Ce travail n’étant pas encore fini, je n’ai encore rien à montrer. Ceci étant dit, j’ai poussé un correctif important concernant les souscriptions emails (cf. le n°798555). En substance, toute souscription à un paquet contenant un tiret était cassée. Cela montre que le nouveau suiveur n’est pas encore largement utilisé pour ce qui est de l’abonnement aux emails…

J’ai également intégré un patch d’Andrew Starr-Bochicchio (le n°797633), qui améliore la description des items d’action WNPP. J’ai également passé en revue un autre patch soumis par Orestis Ioannou permettant la consultation des anciennes nouvelles (cf. le n°756766).

J’ai créé le rapport de bogue n°798011 concernant bugs.debian.org, demandant qu’un nouveau champ d’en-tête X-Debian-PR-Severity soit ajouté aux emails BTS sortants. Ainsi, Distro Tracker peut filtrer les emails par sévérité, et permettre aux utilisateurs de ne souscrire qu’aux emails concernant les bogues critiques pour la publication.

Travaux Debian divers

J’ai rapporté de nombreux bogues ce mois-ci, dont la quasi-totalité est liée à mon travail sur Kali :

  • 3 bogues concernant debootstrap : le n°798560 (demande d’une option --suite-config), le n°798562 (permettre de partager le code des scripts de bootstrap) et le n°7985604 (demande d’ajout des scripts de bootstrap liés à Kali);
  • 3 demandes de nouvelles versions amont : une pour gpsd (n°797899), une pour valgrind (n°800013) et une pour puppet (n°798636);
  • n°797783 : sbuild échoue sans message d’erreur lorsqu’il n’est pas possible d’écrire dans /var/lib/sbuild en chroot ;
  • n°798181 : gnuradio : certains fichiers mettent beaucoup trop longtemps à compiler (j’ai du demander un give-back sur un autre build daemon afin de m’assurer que gnuradio revenait dans testing. Julien Cristau a suggéré qu’il serait préférable de corriger le paquet, de sorte qu’un seul fichier ne mette pas plus de 5 heures à compiler…);
  • n°799550 : libuhd003v5 a perdu son suffixe v5…

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in September 2015 contribuée par Weierstrass01.

Mes activités libres en août 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 6,5 heures de travail sur Debian LTS qui ont été subventionnées. Elles ont été consacrées aux tâches suivantes :

  • J’ai préparé et publié la DLA-301-1, corrigeant 2 vulnérabilités CVE dans python-django;
  • J’ai effectué une semaine de « guichet LTS », triant les vulnérabilités CVE. J’ai poussé 11 commits vers le suiveur de sécurité.

En plus de ces activités, j’ai également présenté Debian LTS à la DebConf 15 de Heidelberg, et coordonné une session de travail concernant nos plans pour Wheezy. Jetez un œil aux enregistrements vidéo :

DebConf 15

C’est avec grand plaisir que j’ai participé à la DebConf 15, après avoir manqué la DebConf 14 l’année dernière. Je n’ai pas spécialement beaucoup travaillé là-bas, mais j’ai participé à beaucoup de discussions et c’est avec une motivation renouvelée pour travailler sur Debian que j’en suis revenu, ce qui est toujours bien. 🙂

En ce qui concerne le travail réalisé durant la DebConf, je ne peux revendiquer que deux uploads de schroot pour corriger l’absence de support du nouveau système de fichier overlay qui remplace « aufs » dans le noyau Debian officiel, et un peu d’activités sur le Distro Tracker (notamment la correction d’un bogue que certaines personnes rencontraient lorsqu’elles étaient connectées via le SSO Debian).

Bien que les nombreuses discussions auxquelles j’ai participé durant la DebConf ne puissent être qualifiées de « travail », elles contribuent de manière certaine à ébaucher la structure des activités à mener dans le futur :

En tant que développeur Kali, j’ai participé à de multiples sessions concernant les distributions dérivées (notamment le panel des dérivés de Debian).

Je me suis également intéressé à la discussion concernant « Debian dans l’informatique professionnelle », animée par Michael Meskes (Directeur Général de Credativ). Il a exposé un certain nombre de problèmes auxquels les utilisateurs peuvent être confrontés lorsqu’ils envisagent d’utiliser Debian, et nous allons essayer de faire quelque chose pour y remédier. Attendez-vous à de prochaines nouvelles et discussions à ce sujet.

Martin Krafft, Luca Filipozzi, et moi avons eu une discussion avec le Chef de Projet Debian (Neil) au sujet de la transformation/réanimation du programme des partenaires Debian. Rien n’est encore arrêté, mais au moins la dynamique initiée par le précédent Chef de Projet (Lucas) est relancée.

Travaux Debian divers

Parrainage J’ai parrainé un envoi (NMU) pour Daniel Stender concernant pep8, comme il s’agissait d’un prérequis pour prospector…que j’ai également parrainé, étant donné que toutes les dépendances requises étaient enfin disponibles dans Debian ! \o/

Empaquetage Autre envoi en tant que non-mainteneur (NMU) : libxml2 2.9.2+really2.9.1+dfsg1-0.1 corrigeant trois problèmes de sécurité et un bogue critique pour la publication, affectant publican.
Dans la mesure où il n’y a plus eu de correctifs amont depuis plus de 8 mois, je suis revenu à la version 2.9.1. Ce qui est conforme aux nouvelles contraintes édictées par les responsables de la publication… un paquet dans unstable devrait migrer vers testing relativement rapidement, il n’est pas acceptable de le garder non corrigé pendant des mois.

Maintenant que ce bogue ennuyeux a été corrigé, je peux de nouveau envoyer une nouvelle version amont de publican. J’ai donc préparé et envoyé la version 4.3.2-1, ce qui constitue mon premier envoi constitué des sources uniquement (« source only upload »). Cette publication a demandé plus de travail que je ne prévoyais, et ce ne sont pas moins de trois bogues que j’ai remontés à l’amont (nouveau chemin d’installation pour la complétion Bash, une demande de mise à disposition des sources d’un fichier javascript « minifié », et la suppression d’un fichier .po pour un code langue invalide).

Problèmes GPG avec les cartes à puces De retour de la DebConf, lorsque j’ai voulu signer des clés, j’ai de nouveau été confronté à un problème rendant impossible l’usage de mes deux smartcards l’une après l’autre, sans tout d’abord supprimer les amorces de la clé privée. Ce n’est pas un problème nouveau, mais j’ai décidé qu’il était temps de le remonter à l’amont. Ce qui fut fait via le ticket n°2079 sur bugs.gnupg.org.

Après quelques recherches, j’ai trouvé un moyen de contourner le problème. Un peu plus tard dans le mois, après un dist-upgrade suivi d’un redémarrage, je ne pouvais plus utiliser mes cartes comme clé d’authentification SSH… c’était également un problème déjà remonté mais sans analyse claire. J’ai donc décidé de procéder à la mienne, et communiqué le résultat dans le n°795368.
Il semble que la racine du problème soit pinentry-gnome3, qui ne fonctionne pas lorsqu’il est lancé par gpg-agent, lui-même lancé avant la session DBUS. Une solution simple consiste à relancer gpg-agent au cours de la session… mais je n’ai encore aucune idée sur ce que pourrait être une solution propre (laisser systemd gérer la session graphique utilisateur et démarrer gpg-agent serait ma première réponse, mais cela ne solutionne nullement le problème pour les utilisateurs d’autres systèmes d’init. Ce n’est donc pas satisfaisant).

Distro Tracker J’ai intégré deux patchs d’Orestis Ioannou, corrigeant quelques bogues marqués « pour les nouveaux contributeurs ». Il y en a d’autres (et j’en ai même créé deux : le n°797096 et le n°797223). Piochez dans la liste et contribuez pour la première fois à Distro Tracker, comme vient juste de le faire Orestis ! J’ai également intégré une modification de Christophe Siraut, qui a présenté Distro Tracker à la DebConf.

J’ai également implémenté dans Distro Tracker la nouvelle méthode d’authentification basée sur les certificats client SSL, récemment annoncée par Enrico Zini. Cela marche bien, et cette procédure d’authentification est bien plus simple à supporter. Beau boulot, Enrico !

tracker.debian.org a cessé de fonctionner durant la DebConf, et n’a plus été mis à jour avec de nouvelles données. En analysant les causes de cette défaillance, j’en suis arrivé à incriminer un problème dans l’archive (cf. le n°796892). Ansgar Burchardt aurait apparemment changé l’ensemble d’outils de compression utilisé sur certains dépôts jessie, remplaçant bz2 par xz. Il a supprimé les anciens Packages.bz2 mais a oublié certains Sources.bz2 qui étaient donc « périmés »… et APT a remonté une incohérence de somme de contrôle concernant le contenu décompressé.

Divers J’ai poussé de petites améliorations de mes formules Salt : schroot-formula et sbuild-formula. Elles détecteront maintenant automatiquement quel système de fichiers overlay est disponible avec le noyau utilisé (« aufs » était auparavant codé en dur).

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in August 2015 contribuée par Weierstrass01.