Vue normale

Reçu — 21 janvier 2026
Reçu — 18 janvier 2026

Web dependencies are broken. Can we fix them? • Lea Verou

✇Kalvn's links
18 janvier 2026 à 09:10

Un article passionnant qui expose de manière argumentée le problème de la gestion des dépendances dans le JavaScript côté client, la courbe d'apprentissage ardue qu'elle représente pour les néophytes et de l'omniprésence des bundlers.

Il n'y a pas de solution immédiate et évidente mais quelques pistes.


Permalink

Web dependencies are broken. Can we fix them? • Lea Verou

✇Kalvn's links
18 janvier 2026 à 09:10

Un article passionnant qui expose de manière argumentée le problème de la gestion des dépendances dans le JavaScript côté client, la courbe d'apprentissage ardue qu'elle représente pour les néophytes et de l'omniprésence des bundlers.

Il n'y a pas de solution immédiate et évidente mais quelques pistes.


Permalink
Reçu — 16 janvier 2026

safe-npm - Pour ne plus flipper à chaque 'npm install'

✇Korben
Par : Korben
16 janvier 2026 à 09:00

Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou debug et chalk ) et la campagne Shai-Hulud 2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.

Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets ( Source )

D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.

C'est là qu'intervient safe-npm , une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.

Et hop, un souci en moins !

La supply chain npm, le nouveau terrain de jeu préféré des attaquants ( Source )

Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.

Pour l'installer, c'est du classique :

npm install -g @dendronhq/safe-npm

Ensuite, vous l'utilisez à la place de votre commande habituelle. L'outil propose des options bien pratiques comme --min-age-days pour ajuster le délai, --ignore pour les packages que vous savez sains (ou critiques), et surtout un mode --strict parfait pour votre CI afin de bloquer tout build qui tenterait d'importer du code trop frais pour être honnête. Y'a même un --dry-run pour voir ce qui se passerait sans rien casser, c'est nickel.

Alors oui, ça veut dire que vous n'aurez pas la toute dernière feature à la mode dès la première seconde. Mais bon, entre avoir une nouvelle icône dans une lib de CSS et voir son compte AWS se faire siphonner par un groupe de hackers russes, le choix est vite fait, non ? Perso, je préfère largement ce filet de sécurité, surtout quand on voit que les attaquants utilisent maintenant Gemini ou Qwen pour réécrire leur code malveillant à la volée afin d'échapper aux antivirus.

Bien sûr, ça ne remplace pas un bon scanner de malware spécifique ou une lecture attentive des vulnérabilités, mais c'est une couche de protection supplémentaire qui coûte rien et qui peut sauver votre boîte. À coupler d'urgence avec les recommandations de la CISA comme la MFA résistante au phishing et la rotation régulière de vos credentials.

Bref, si vous voulez kiffer votre code sans avoir l'impression de jouer à la roulette russe à chaque dépendance ajoutée, safe-npm est clairement un indispensable à rajouter dans votre caisse à outils de dev paranoïaque.

Allez sur ce, codez bien et restez prudents (et gardez un œil sur vos backdoors générées par IA , on sait jamais ^^).

Reçu — 15 janvier 2026

Glide - Le fork Firefox entièrement hackable pour les fans de Vim

✇Korben
Par : Korben
15 janvier 2026 à 09:00

Coucou les petits amis, ça roule ? Aujourd'hui on va parler d'un truc qui va plaire aux barbus, aux fans de raccourcis qui font mal aux doigts et à tous ceux qui considèrent que la souris est une invention du démon.

Ça s'appelle Glide et l'idée c'est de proposer un fork de Firefox entièrement hackable via du TypeScript et pas juste une extension qui se fait brider par le modèle de sécurité de Mozilla. C'est donc un vrai navigateur où vous avez la main sur tout ce qui touche au logiciel.

Le développeur, Robert Craigie, en avait marre de voir ses raccourcis Vim sauter sur certains domaines protégés. Du coup, il a pris les sources de Firefox et il a injecté une couche de personnalisation totale. On peut définir ses propres modes (Normal, Insert, Hint, Ignore), créer des macros qui exécutent des processus externes, ou même configurer un raccourci pour cloner un dépôt GitHub et l'ouvrir direct dans Neovim.

Franchement, le truc est hyper fluide. Le mode "Hint" (touche f) permet de cliquer sur la plupart des liens sans jamais lâcher le clavier, et le raccourci gI cible automatiquement le plus gros champ de texte de la page. C'est magique, on gagne un temps de dingue.

Pour ceux qui se demandent la différence avec Tridactyl , c'est simple : ici, il n'y a plus de bac à sable pour la configuration. On est chez soi, avec un accès direct aux APIs du navigateur et la possibilité de piloter des scripts système sans se prendre la tête. Attention toutefois, Glide est encore en version alpha (basé sur Firefox 144.0b8), ce qui signifie que le fork a un peu de retard sur les derniers patchs de sécurité de Mozilla. À utiliser en connaissance de cause, donc.

Pour l'instant, c'est dispo uniquement pour macOS et Linux. Mais si vous kiffez le minimalisme et que vous voulez un navigateur qui ne vous traite pas comme un simple utilisateur à qui on cache les réglages, Glide mérite clairement le coup d'œil.

Ça redonne un peu de fun à la navigation web, loin des usines à gaz bourrées d'IA qui essaient de deviner ce que vous voulez faire !

Merci à Lorenper !

Source

Reçu — 10 janvier 2026
Reçu — 5 janvier 2026
Reçu — 23 décembre 2025
Reçu — 17 décembre 2025

PearOS 25.12 NiceC0re : Le retour d'une distro emblématique

✇LinuxFr.org : les dépêches
Par : vida18 · Pierre Jarillon · Benoît Sibaud
17 décembre 2025 à 15:52

PearOS renaît avec sa plus grande refonte : une base Arch Linux, KDE Plasma hautement personnalisé, et un design révolutionnaire Liquid Gel

PearOS, la distribution Linux emblématique créée en 2011 par David Tavares pour offrir une esthétique MacOS sous le pingouin, connaît un renouveau remarquable. Après des années d'oubli relatif, PearOS NiceC0re 25.12 revient en décembre 2025 avec une transformation radicale qui le positionne comme un concurrent sérieux dans le paysage des distributions Linux axées sur le design.

Un changement de fondations

La nouvelle version abandonne définitivement ses racines Ubuntu pour embrasser Arch Linux. Cette migration stratégique offre deux avantages majeurs aux utilisateurs : un accès à des paquets plus à jour via les dépôts généreux d'Arch, et un modèle de publication en rolling release. Les utilisateurs n'auront plus besoin d'attendre des versions majeures pour bénéficier des dernières innovations—une mise à jour unique suffit à recevoir les améliorations en continu.

Sous le capot, PearOS 25.12 tourne sur Linux kernel 6.17 et s'accompagne de KDE Plasma 6.5.3. Cette fondation moderne garantit un système performant, stable et doté d'une très large compatibilité matérielle.

L'identité visuelle : Liquid Gel et Glassmorphism

Le cœur de cette nouvelle direction réside dans la philosophie de design cristallisée par le concept de Liquid Gel. Loin d'être une simple application de thème, cette approche réimagine complètement l'interface utilisateur avec des effets de glassmorphism avancés, des animations fluides et des transitions viscérales qui donnent l'impression d'un système extrêmement raffiné.

Le résultat ? KDE Plasma, l'un des bureaux les plus puissants de l'écosystème Linux, a été fortement personnalisé pour reproduire l'esthétique des versions récentes de MacOS. Les thèmes d'icônes, les arrangements de panneaux et chaque détail visuel ont été soigneusement calibrés pour offrir une expérience utilisateur cohérente et agréable.

Un installateur modernisé en Electron

Première d'une longue série d'innovations, PearOS NiceC0re introduit un nouvel installateur créé avec Electron et Node.js. Cette approche web-based, bien qu'actuellement en phase béta, symbolise la volonté du projet de s'approprier les meilleures pratiques modernes de développement.

À quoi s'attendre à l'avenir

L'équipe de développement, actuellement menée par Alexandru Bălan (développeur roumain), ne s'arrête pas là. Trois éléments majeurs sont en chantier :

  • Soda DE : Un nouvel environnement de bureau de nouvelle génération conçu pour redéfinir la manière dont les utilisateurs interagissent avec Linux. Si Soda DE aboutit à ce qui est promis, il pourrait éclipser même KDE Plasma en termes de modernité.
  • Stabilité renforcée : Malgré la nature bêta de l'installateur actuel, l'équipe s'engage pour des améliorations substantielles en fiabilité système, optimisation des performances et correction des bogues.
  • PearOS Pahoe : La prochaine génération de PearOS, déjà en développement, promet une évolution encore plus ambitieuse.

L'équipe a mis l'accent sur l'accessibilité du code source et encourage les contributeurs à explorer le projet sur GitHub. Pour les curieux, l'ISO est d'ores et déjà disponible au téléchargement sur le site officiel.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Reçu — 14 décembre 2025
Reçu — 13 décembre 2025
❌