kalvnUn outil pour automatiser l'utilisation des *importmap*, une nouvelle norme HTML qui permet d'améliorer la gestion des dépendances JavaScript externes.
Un article passionnant qui expose de manière argumentée le problème de la gestion des dépendances dans le JavaScript côté client, la courbe d'apprentissage ardue qu'elle représente pour les néophytes et de l'omniprésence des *bundlers*.
Il n'y a pas de solution immédiate et évidente mais quelques pistes.
BenjaminKLeft the house to walk the dog this evening and forgot my phone, for about 5 minutes I was nervous, what if something happens? Then I remembered I've lived a lot of my life without a phone and for most of history people never had them. The dependency was disturbing, I should do it more.
Nicolas DelsauxVous saviez, vous, qu'on peut mettre les dépendances d'un script Python directement dans le script avec une syntaxe un poil particulière mais pas si ignoble ? Moi non plus. Heureusement, Julia Evans est là ! https://packaging.python.org/en/latest/specifications/inline-script-metadata/#inline-script-metadata #python #dépendances #déclaration #astuce
L'article est suffisament clair pour me donner l'envie d'en faire un plugin maven (ca n'est même pas dur) https://stacktower.io/ #programming #dépendances #analyse #risque
Oh bon sang, cette histoire d'attendre une ou deux semaines avant de mettre a jour une dépendance automatiquement est une sacrément bonne idée ! https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns #dépendances #automatisation #update #devops
Quelques pistes pour se protéger des *supply chain attacks*.
🔗 https://developer.mozilla.org/en-US/docs/Web/Security/Attacks/Supply_chain_attacks
Je trouve ça fou qu'avec le succès phénoménal de Python il n'y ait jamais eu de manière plus simple et intégré de gérer les versions et les dépendances. `virtualenv` semble ne satisfaire personne.
kalvnUne réflexion sur l'utilité relative des *lockfiles*, ces fichiers qui gardent trace de la version exacte de chacune des dépendances d'un projet, incluant les dépendances de dépendances, etc.
CyberVeille.ch📢 Analyse des vulnérabilités de la chaîne d'approvisionnement logicielle dans l'écosystème Python
📝 L'article provient d'une publication de recherche menée par le New Jersey Institute of Technology, qui analyse les vulnérabilités au sein de l'éco...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-04-analyse-des-vulnerabilites-de-la-chaine-d-approvisionnement-logicielle-dans-l-ecosysteme-python/
🌐 source : https://arxiv.org/abs/2507.18075
#Python #dépendances #Cyberveille
📝 L'article provient d'une publication de recherche menée par le New Jersey Institute of Technology, qui analyse les vulnérabilités au sein de l'éco...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-04-analyse-des-vulnerabilites-de-la-chaine-d-approvisionnement-logicielle-dans-l-ecosysteme-python/
🌐 source : https://arxiv.org/abs/2507.18075
#Python #dépendances #Cyberveille
Analyse des vulnérabilités de la chaîne d'approvisionnement logicielle dans l'écosystème Python
L’article provient d’une publication de recherche menée par le New Jersey Institute of Technology, qui analyse les vulnérabilités au sein de l’écosystème Python. PyPitfall est une étude quantitative qui examine les vulnérabilités des dépendances dans l’écosystème PyPI, la base de données officielle des packages Python. Les chercheurs ont analysé les structures de dépendance de 378,573 packages et ont identifié 4,655 packages nécessitant explicitement une version vulnérable connue, et 141,044 packages permettant l’utilisation de versions potentiellement vulnérables.