Destination Debian

Infos à la source, maîtrisez votre distribution Debian/Ubuntu

Home Archives for Uncategorized

Mon rapport Debian LTS d’octobre 2014

Posted on Written by

J’ai consacré dix heures rémunérées durant le mois d’octobre à travailler sur Debian LTS. J’aurais du travailler quatre heures de plus, mais pour diverses raisons cela n’a pas pu se faire. Je travaillerai donc quatre heures supplémentaires au mois de novembre.

Durant ces dix heures donc, j’ai effectué le travail suivant :

  • Tri de bogues CVE : j’ai poussé ce mois-ci 23 commits vers le dépôt SVN du suiveur de sécurité, et créé le rapport de bogue n°765352 concernant wpa;
  • J’ai publié une mise à jour pour mysql-5.1 (DLA-75-1), corrigeant trois CVE;
  • J’ai sponsorisé l’envoi de ppp version 2.4.5-4+deb6u1 corrigeant DLA-74-1, qui avait été préparé par Andrew Bartlett ;
  • J’ai envoyé une nouvelle version d’apache2 (DLA-71-1), corrigeant 2 CVE ;
  • J’ai créé quelques rapports de bogues concernant debian-security-support et demandant que certains paquets soient marqués comme non supportés dans Squeeze : cf. n°765374 pour axis2c et rampart, n°765452 pour une nouvelle fonctionnalité devant permettre aux paquets binaires d’être marqués comme non supportés, de sorte que glassfish-appserv soit répertorié en tant que tel (n°765454).

Après quelques mois de travail sur Debian LTS, je commence à avoir une meilleure vision du workflow et de ce qui peut être fait ou pas fait. Mais je suis toujours abasourdi de compter si peu d’utilisateurs de Squeeze sur la liste de diffusion. Si vous utilisez toujours Squeeze, inscrivez-vous s’il vous plaît à cette liste et testez les paquets soumis pour test/évaluation par les contributeurs. Cela nous aide vraiment d’avoir un retour des « vrais » utilisateurs avant de publier une mise à jour, en particulier lorsque le contributeur Debian qui l’a préparée n’est pas un utilisateur dudit paquet… tout le monde n’a pas les compétences requises pour préparer une mise à jour de sécurité, mais tout le monde peut aider à tester des paquets, vous n’avez pas d’excuses ! 😉

Et nous sommes toujours à la recherche de nouvelles organisations rejoignant le projet LTS, soit en apportant de l’aide (comme Catalyst le fit en laissant Andrew Bartlett travailler sur LTS, merci à eux !) ou en sponsorisant le projet et en permettant aux autres de faire le travail.

Ceci est une traduction de mon article My Debian LTS report for October 2014 contribuée par Weierstrass01.

Spotify migre 5000 serveurs de Debian à Ubuntu

Posted on Written by

Ou une raison de plus prouvant qu’il est important que Debian LTS soit un succès. L’année dernière nous avions eu la nouvelle que Dreamhost passait à Ubuntu parce qu’ils pouvaient maintenir une version stable de Ubuntu plus longtemps que la version stable de Debian (et ceci bien que Ubuntu n’assure que le support des logiciels dans la section principale, ce qui exclue un grand nombre de logiciels populaires).

Spotify Logo

Il y a quelques jours, nous apprenions que Spotify avait pris une décision similaire:

Il y a quelques temps, nous avons décidé de migrer vers Ubuntu pour nos serveurs de backend. Les principales raisons de ce changement étaient le cycle de publication prévisible et le support à long terme (cette décision prédate l’annonce que Debian s’engageait également à offrir un support à long terme). Avec la sortie de Ubuntu 14.04 LTS nous sommes maintenant en train de migrer nos ~5000 serveurs vers cette distribution.

Il s’agit d’un preuve supplémentaire, s’il en était besoin, que nous devons fournir un support à long terme des versions stables de Debian si nous voulons rester un choix pertinent dans les grands déploiements.

Mais la tâche est ingrate et il est difficile de trouver des volontaires pour l’assumer. C’est pourquoi je suis persuadé que la meilleure des solutions est de convaincre les entreprises de contribuer financièrement à Debian LTS.

Nous avons déjà convaincu une poignée de sociétés et juillet est le premier mois où des contributeurs payés ont rejoint l’effort Debian LTS pour une participation modeste de 21 heures de travail (suivez Thorsten Alteholz et Holger Levsen sur debian-lts et debian-lts-announce). Mais nous devons encore multiplier ce chiffre par 5 ou 6 au moins pour assurer un travail correct de maintenance de Debian 6.

C’est pourquoi je vous invite à télécharger le formulaire de souscription et à avoir une discussion avec votre encadrement. C’est le moment de convaincre votre entreprise de rejoindre cette initiative. N’hésitez pas à prendre contact si vous avez des questions ou si vous préférez que je contacte un représentant de votre entreprise. Merci !

Un script pour surveiller des mises à jour

Posted on Written by

On m’a récemment demandé s’il existait un outil Debian pour vérifier qu’un ensemble de paquets dérivés de Debian intègrent bien les dernières mises à jour de sécurité. L’idée est d’avoir un fichier listant l’ensemble des paquets personnalisés avec les versions qui ont servi de base aux paquets personnalisés et d’avoir un outil qui va vérifier automatiquement security.debian.org pour voir si de nouvelles versions sont disponibles.

Ma première réponse était de regarder famke un petit script python écrit par James Troup pour les besoins de l’équipe DSA de Debian: il prévient par mail lorsque des mises à jour sont possibles et essaient de les rapprocher avec le fil RDF des mises à jour de sécurité.

J’ai donc repris le principe et réalisé un petit script python un peu plus souple dans la mesure où il ne vérifie pas si les paquets installés peuvent être mis à jour mais si les paquets listés dans un fichier (que j’ai appelé watchlist) peuvent être mis à jour à partir d’un ensemble de dépôts APT que l’on consigne dans un fichier sources.list personnel.

Il peut servir d’exemples à ceux qui cherchent à employer l’interface « python-apt ». Le script est disponible dans un dépôt Git.

Installation et usage par l’exemple :

$ git clone git://git.debian.org/~hertzog/hacks/checkupdate.git
$ cd checkupdate
$ vim checkupdate.conf
# On change les répertoires pour pointer vers `pwd`
$ vim watchlist
# On indique les paquets à surveiller et leur version courante
$ ./checkupdate checkupdate.conf
An update of the package 'rsync' is available: 2.6.9-2etch1
Origin: [component: 'main' archive: 'stable' origin: 'Debian'
label: 'Debian-Security' site 'security.debian.org' isTrusted: 'True']

Réflexions sur le financement du logiciel libre

Posted on Written by

En tant qu’entrepreneur qui a monté une SARL dans le but d’allier travail et passion du logiciel libre, le sujet du financement du logiciel libre m’intéresse au plus haut point. Je sais aussi, par expérience, que ce sujet peut déclencher des réactions extrêmement vives lorsque des questions d’argent s’immiscent dans des communautés bénévoles. Cela ne doit cependant pas nous empêcher de continuer à mener une réflexion pour trouver de nouveaux moyens de financer le logiciel libre.

Cet article s’attache donc à faire un tour d’horizon de l’existant et à identifier les limites des modèles existants. Enfin, pour finir, je vous ferai partager mes réflexions personnelles sur les critères à respecter pour définir une nouveau modèle économique viable.

Les services aux professionnels

C’est sûrement la solution la plus simple et c’est une solution qui marche pour moi à l’heure actuelle. Je vends mes compétences informatiques aux entreprises qui en ont besoin sous forme de formations, conseils et développements spécifiques. La marge que je dégage me permet de consacrer un à deux jours par semaine au logiciel libre (bien sûr cela veut aussi dire que je pourrais gagner plus si j’arrêtais de contribuer à Debian et que je travaillais plus).

Cela marche, mais cela ne me satisfait pas vraiment. J’essaie d’orienter Freexian comme un spécialiste de Debian, mais ce positionnement ne m’a encore jamais permis de faire financer un développement utile à Debian par un client. Par contre, pour des développements sur un Linux embarqué ou des conseils sur Asterisk, là on trouve plus facilement des clients.

Bien sûr, c’est mieux que de devoir travailler avec Windows, mais il n’y a pas de raison qu’on ne puisse pas trouver une solution où les revenus proviendraient plus ou moins directement d’un travail effectué concernant Debian.

La publicité

C’est le mode de financement de tellement de sites web, qu’on se dit qu’il pourrait aussi contribuer à financer le logiciel libre. C’est sûrement vrai dans quelques cas, mais il me semble que cela restera anecdotique comme mode de financement : d’une part, comme Tuxicoman le faisait remarquer, il y a le problème éthique que cela pose, et d’autre part, il faut avoir une audience très importante pour que la publicité rapporte suffisamment (ce qui n’est pas donné à tout le monde).

Les services en ligne

Héberger un service en ligne représente un coût, et si le service est utile, alors il y a des gens qui seront prêts à payer pour en bénéficier. Tuxicoman voit le logiciel libre comme un produit d’appel pour attirer les gens vers votre offre en ligne. Cela peut être un très bon modèle, mais à mon avis il se limite aux logiciels qui sont en rapport direct avec un service en ligne : il est logique de proposer de l’hébergement de blog si on développe WordPress, mais si vous êtes développeur de dpkg, je ne vois pas quel service en ligne pourra contribuer à financer votre travail.

Compter sur les fans

C’est un peu le principe du « club Mandriva ». Il faut proposer quelques services et compter sur la loyauté des utilisateurs. Mais on retombe sur la problématique de l’audience, si les services ne sont pas intéressants pour ce qu’ils sont, alors l’équilibre est précaire et repose uniquement sur une population limitée.

Autrement dit, cela peut marcher avec des grosses communautés et pas mal de marketing, mais cela restreint le modèle aux seules boîtes qui ont les moyens d’avoir un service marketing conséquent. Bref, ce n’est pas pour tout le monde.

En outre, du point de vue d’un fan qui souscrit plus pour soutenir le projet que pour les services offerts, il ne sait pas exactement ce qu’il finance. Ou plutôt, il sait qu’il finance tout alors même qu’il préférerait peut-être financer plus spécifiquement le développement libre de telle ou telle fonctionnalité.

On le voit, la plupart de ces modèles ne sont pas adaptés pour des individus et des petites structures. Comme je me place plutôt dans cette catégorie, je réfléchis à un nouveau modèle plus adapté — essayant d’allier éthique et rentabilité économique. En menant cette réflexion je suis arrivé à une liste de critères à respecter.

Les critères de succès

Un peu dans le désordre, voici différents points qui, si l’on peut les conjuguer dans une solution concrète (que j’appellerai ci-dessous « le service »), en feraient une solution viable :

  • Le service doit concerner tous les utilisateurs de logiciels libres, et pas seulement les « fans ». L’équilibre d’une économie autour du logiciel libre passe par un facteur d’échelle, il doit y avoir plus d’utilisateurs que de développeurs.
  • Le service doit être de proximité afin que le client puisse s’identifier à la personne qui le fournit. Je ne parle bien entendu pas de proximité physique, mais de proximité virtuelle. Il faut juste que le client puisse avoir un contact direct avec le développeur et qu’il sache de manière concrète ce à quoi servent les bénéfices réalisés autour du service.
  • Le service doit être très lié avec les compétences et les centres d’intérêts du développeur de logiciel libre, afin qu’il prenne plaisir à le fournir.
  • En même temps, le service ne doit pas avoir une influence directe sur le projet libre auquel le développeur contribue habituellement.
  • Bien entendu, le service doit être utile sur le long terme, car un revenu ponctuel ne permet pas de financer durablement un développeur (sauf don de centaines de milliers d’euros, mais on sort du cadre là :-D).

Pfiou, rien que çà ! Visiblement ce n’est pas facile, mais cela fait quelques temps que j’y réfléchis, et j’ai un projet dans les cartons. Il est trop tôt pour en parler mais je ne manquerai pas d’y revenir en temps voulu.

Flux Mon blog anglophone sur le libre

Mots-clés

3.0 (quilt) Annonce aptitude Cahier Admin conffile Contribuer DebConf Debian Debian France Debian Live Distro Tracker dpkg dpkg-source Eyrolles Freexian GNOME GSOC HOWTO Informatique Kali Linux Libre Livres LTS Moi multiarch nautilus-dropbox nettoyage Packaging Politique Presse Pro Programmation PTS publican python-django Release Rolling Référence Résumé d'activité synaptic Testing Tryton Ubuntu unstable wordpress

Articles récents