Devoxx 2023

Des tuyaux sur les pipelines

Ramener la qualimetrie vers le début du build
Mettre en cache dans les builds une journée suffit généralement. Penser à mettre une durée sur les caches pipeline
Test d’application mobile : Appium
Outils de test de charge
- Gatling
- hey
- ab
Scan de vulnérabilité, chercher DAST sur OWASP
- Vulnerability Scanning Tools
Établir les SBOM pour des raisons qualité et sécurité
- Syft
- OWASP Cyclone DX
- Format standard SPDX
Déplacer des images d’un registry à l’autre
- Crane
- Skopeo
Contruire une image depuis un container
- Kaniko
Analyse des dépendances
- Dependabot
- Renovate
Staging correspond lexicalement aux stages de testing
GitOps = git est la source de vérité
Modèle Expand / Contract pour gérer les rollback de données en prod
SAST / DAST / Secrets / Dependency / Licenses
- Semgrep
- Gitleaks
Containers Scanning / Operational Scanning
- trivy
- Clair
Publier les tests dans gitlab

NodeJS : patterns et outils pour partir en production sereinement

4 Go de ram par defaut, ajouter ’max_old_space_size’ pour changer
On peut faire des pools de worker thread avec piscina
Node clinic.js pour analyser les problèmes de perfs
Pour tester express : supertest
Pour gérer les problèmes de rejected unhandle error : express-promise-router
zod permet la validation de schéma json

Il est bon de mettre des timeout sur les fetch

const url = "https://path_to_large_file.mp4";

try {
const res = await fetch(url, { signal: AbortSignal.timeout(5000) });
const result = await res.blob();
// …
} catch (err) {
if (err.name === "TimeoutError") {
    console.error("Timeout: It took more than 5 seconds to get the result!");
} else if (err.name === "AbortError") {
    console.error(
    "Fetch aborted by user action (browser stop button, closing tab, etc."
    );
} else if (err.name === "TypeError") {
    console.error("AbortSignal.timeout() method is not supported");
} else {
    // A network error, or some other problem.
    console.error(`Error: type: ${err.name}, message: ${err.message}`);
}
}

https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal/timeout

Cockatiel est une lib qui permet d’implémenter un circuit breaker ou un bulkhead facilement

Playwright : l’outil qui va révolutionner les tests end-to-end

Playwright by Microsoft
Hérité de Puppeteer
Un Codegen et un UI mode pratique et sympa
Utiliser des locator getByRole (cf Testing Library)
Playwright dispose d’un système d’auto wait qui évite de configurer des timeout partout pour attendre le chargement de page.
Il est possible d’utiliser des nested locator.
Il est possible générer des traces visualisables dans l’UI mode.
Intégré avec Cucumber
La comunauté n’est pas immense et surtou en anglais

Alice au pays d’OpenTelemetry

OpenTelemetry.
Full compatible avec Prometheus pour import et export.
Il faut utiliser la distribution avec les addon pas juste la distrib core.
Il faut penser à définir les resources correctement
Tempo de Grafana Lab pour stocker les traces
Loki pour les logs. Manifestement compliqué à mettre en place le gars n’est pas arrivé à faire ce qu’il voulait
Faire un mapping des status http vers le level des logs
- warn: 5xx
- error: 4xx
- info: 3xx
- debug: 2xx

Hidden security features of the JVM - everything you didn’t know and more

Sealed les jar pour plus de sécurité
La serialization est le point d’attaque principal, il permet d’injecter n’importe quoi dans la JVM
https://bomdoctor.sonatype.com

Loi de Conway

L’organisation conditionne la structure du produit wikipedia
Explorer l’Event Storming et la context map

Nouveautées Java 19 / 20

Record pattern avec destructuration
Valable aussi dans les boucles depuis la 20
Panama
- Foreign Function = accès à la mémoire Offheap et appel de fonction externe
- Vector pour les calculs Vectoriel SIMD sur les cpu RISK
Loom
- Thread Virtuels
- Structured Concurrency = Remplace les Future avec des Thread Virtuel
- Scope Value = Remplace les ThreadLocal pour les Thread Virtuel

Docker vs Jib vs Pack

Compression de binaire avec UPX
Spring boot à un profil native
CNB avec pack pour images natives
plugin maven packito-buildpack
Termgraph pour les grap dans le terminal

PostgreSQL

Génération de données
Partionning de tables par list ou hash
Postgres Anonymizer = extension pour anonymizer les données en live par utilisateur
Row level security
Capaciter à monter un fichier en table et de l’intéroger comme une table avec les foreign wrapper
Stockage Json (attention de respecter les bonnes pratiques)
- Capacité d’interooger des sous-éléments
- Capacité de sauver des sous-éléments

Terraform

tfstate est ce qui a été fait et permet de gérer la suppression des ressources
Il présente un risque de désynchronisation
Azure Policy pour appliquer des règles de sécu sur certaines resources
Drftctl permet de contrôler les dérives du tfstate
Terraform state rm et import pour remettre à jour le tfstate
La création de modules permet de forcer les conventions et les valeurs par défaut
Attention refactor un module présente un risque de casser le tfstate si les noms changent
Terraform n’est pas fait pour remplir les resouces mais pour les déployer

Divers

Pirsch Analytics
Crowdin est une plateform de localization collaborative gratuite pour l’open source
Ant design Alibaba est un framework front
Tech radar
OctoDNS
- octodns-dump pour recupérer
- gestion des dns par repo git
- octodns-validate pour valider la syntaxe
R2DevOps et gitlab tobecontinuous
gitlab-cli pour gitlab en ligne de commande
gitlab-ci local pour les pipelines en local
Spring 3 Observability