Category: GitHub

L’attaque Shai-Hulud sur NPM expliquée

Ori HLeave a comment

Mise à jour de novembre 2025 : Plus loin dans l’article, une explication de la deuxième attaque (« Shai‑Hulud 2.0 »)

Une cyberattaque de grande envergure visant l’écosystème NPM a débuté le 16 septembre 2025.
L’attaque a été surnommée « Shai-Hulud ».
L’attaque, qui est une évolution d’un incident précédent datant d’environ une semaine,
se propage comme un ver (worm) auto-réplicable,
et infecte des paquets populaires, y compris ceux de Nx et CrowdStrike.

Dune Sandworm

Les principaux risques incluent le vol d’identifiants cloud (cloud credentials) et de clés de plateformes majeures,
l’auto-propagation via des comptes de développeur NPM (NPM developer accounts) compromis,
et la fuite de plus de 700 dépôts GitHub (GitHub repositories) publics.

Quelles sont les implications ? Et quelles actions entreprendre ?

Notez que les machines infectées sont considérées comme entièrement compromises (fully compromised) !
Il est recommandé de prendre des mesures immédiates, telles que l’analyse des paquets open source à l’aide d’outils SCA,
la suppression ou le verrouillage (pinning) des paquets à des versions sûres,
la réactualisation des autorisations d’accès aux dépôts externes,
et d’envisager la réinstallation des systèmes affectés.

À plus long terme, il est recommandé de prendre des mesures préventives supplémentaires, telles que l’utilisation d’outils de gestion des secrets (Secrets management),
l’activation d’alertes pour les paquets infectés, le durcissement des images (hardening), et plus encore.
Cette alerte souligne que la sécurité de la chaîne d’approvisionnement (supply chain security) s’étend désormais au-delà des CVE traditionnels et inclut également les informations d’identification,
les autorisations et les vulnérabilités CI/CD, ce qui nécessite une consultation urgente avec les équipes de sécurité.

Si vous avez besoin d’une aide immédiate pour résoudre ce problème, grâce à nos connaissances pratiques combinant DevSecOps / DevOps
et la protection du code et des applications, contactez-nous :
appsec@almtoolbox.com ou par téléphone : 072-240-5222

Écoutez ici une brève explication sur le sujet (2 minutes) :

Une explication plus approfondie sur le sujet (19 minutes) :

Les explications enregistrées ci-dessus concernent la première vague de l’attaque (septembre 2025)

Mise à jour importante : Shai‑Hulud 2.0 – Une nouvelle vague d’attaques depuis le 24/11/2025

Fin novembre 2025, une nouvelle vague améliorée de l’attaque a été identifiée, connue dans la communauté sous le nom de Shai‑Hulud 2.0 ou
« Sha1‑Hulud: The Second Coming », au cours de laquelle de nouvelles versions malveillantes ont été implantées dans des centaines de paquets NPM supplémentaires, avec des centaines de nouvelles versions utilisées par des dizaines de milliers de projets.
Cette vague est considérée comme une continuation directe de la campagne de septembre, mais avec des capacités de propagation, d’automatisation et de destruction plus avancées, et elle est toujours considérée comme un événement actif et en cours.​

Quoi de neuf dans la deuxième vague ?

Dans la version 2.0, l’attaque utilise des scripts d’installation (install / preinstall lifecycle scripts) et de nouveaux fichiers de charge utile (payload) comme setup_bun.js et bun_environment.js, qui permettent d’exécuter du code malveillant dès la phase d’installation et sans interaction supplémentaire de la part du développeur. La charge utile pénètre beaucoup plus profondément dans l’environnement CI/CD : elle crée des fichiers tels que cloud.jsonenvironment.jsontruffleSecrets.json et tente même d’injecter un fichier de workflow pour obtenir un point d’ancrage persistant dans GitHub Actions.​

De plus, la nouvelle attaque enregistre les machines infectées en tant que runners GitHub auto-hébergés (self-hosted GitHub runners) sous le nom de SHA1HULUD, ce qui permet à l’attaquant d’exécuter du code à sa guise au sein de l’infrastructure CI/CD de l’organisation sur la durée et de manière relativement discrète. Dans certains cas, une capacité de suppression et de perturbation des dépôts et des pipelines a également été documentée, de sorte qu’une tentative pour « éteindre » l’attaque pourrait entraîner de graves dommages au code et à l’infrastructure.​

Étendue actualisée de l’impact

Comparée à la première vague, la seconde a considérablement élargi la portée de l’infection, avec des centaines de paquets NPM uniques infectés (en fait, près de 800), totalisant plus de 20 millions de téléchargements hebdomadaires,
et plus de 25 000 à 28 000 dépôts GitHub exposés à des secrets divulgués.

Plusieurs organisations connues, y compris de grandes entreprises SaaS et des projets open source populaires,
ont signalé rétrospectivement avoir été touchées et ont dû procéder à une rotation massive de leurs secrets et à une restauration complète de leur environnement CI/CD.​

Le nouveau ver n’est plus limité à NPM : des rapports font état de tentatives de propagation à d’autres écosystèmes comme Maven, en utilisant les mêmes techniques de vol de secrets, d’enregistrement de runners malveillants et de publication de dépôts dédiés sur GitHub pour la collecte d’informations. Tout cela renforce la compréhension qu’il s’agit d’une campagne d’attaque de la chaîne d’approvisionnement large et continue, et non d’un événement isolé ou ponctuel.​

Mise à jour de la liste des risques

En plus des risques déjà décrits dans l’article original (vol d’identifiants cloud, fuite de dépôts GitHub, etc.), la vague actuelle ajoute plusieurs points importants :

  • Transformation de l’environnement CI/CD lui-même en un point de contrôle persistant pour l’attaquant, y compris des runners malveillants et des workflows dérobés (backdoored).​
  • Automatisation étendue du « worming » – une tentative systématique d’infecter davantage de paquets, de dépôts et d’organisations en utilisant des identifiants volés précédemment.​
  • Capacités d’escalade de privilèges (Privilege Escalation) dans les environnements Docker et exécution dans les environnements Linux, Windows et macOS, tout en tentant de s’échapper des conteneurs vers le système d’exploitation hôte.​

Par conséquent, une machine ou un pipeline exposé à Shai‑Hulud 2.0 est considéré non seulement comme « entièrement compromis », mais aussi comme une base potentielle pour une propagation ultérieure à l’intérieur et à l’extérieur de l’organisation !​

Recommandations d’action mises à jour :

En plus des recommandations existantes ci-dessus (analyse SCA, épinglage à des versions sûres, actualisation des autorisations, réinstallations, etc.), il est recommandé d’ajouter les actions suivantes :

  1. Effectuer une rotation agressive de tous les secrets stockés dans les environnements CI/CD, GitHub/GitLab, les clouds AWS/Azure/GCP et les registres de paquets – même en l’absence d’indication certaine d’une compromission.​
  2. Effectuer un examen complet des pipelines CI de GitHub Actions / GitLab, y compris la détection de workflows inconnus (par exemple, ceux liés à des événements de discussion ou à de nouveaux runners), et leur suppression immédiate.​
  3. Durcir la gestion des runners : limiter les runners auto-hébergés, surveiller les noms/étiquettes suspects (par exemple SHA1HULUD) et appliquer le principe de moindre privilège sur chaque runner.​
  4. Utiliser des outils de SCA et de Secrets Scanning dédiés, capables de détecter également les schémas de vers et les comportements suspects (scripts au moment de l’installation, déclencheurs inhabituels dans les pipelines, etc.), et pas seulement les CVE standards.​
  5. Envisager sérieusement d’utiliser des registres privés / proxys internes avec une liste blanche (allowlist), agissant comme un pare-feu,
    afin de réduire la dépendance directe à l’égard du registre NPM public et d’empêcher le téléchargement de versions infectées en temps réel.​

Liens utiles :

Vous avez d’autres questions ?

Contactez-nous pour toute question, y compris les tarifs, les devis et plus encore : devops.fr@almtoolbox.com  ou appelez-nous : +33 1 84 17 53 28 , 866-503-1471 (États-Unis / Canada) ou +31 85 064 4633 (International)

L’article a été publié pour la première fois en septembre 2025. Dernière mise à jour : décembre 2025.

L’image ci-dessus a été initialement mise en ligne sur YouTube sous une licence CC BY.

Avis CodeRabbit : Processus de Revision de Code par IA pour les Équipes d’Entreprise

Ori HLeave a comment
logo coderabbit
 

CodeRabbit est une plateforme avancée de revue de code par IA conçue pour rationaliser les processus de développement logiciel.
Elle s’intègre aux outils de développement existants pour fournir des revues de code automatisées, détecter les bugs plus tôt et accélérer l’approbation des Pull Requests (PR) et des Merge Requests (MR).

En tant qu’application d’IA la plus installée sur GitHub et GitLab, la plateforme a traité des millions de PRs sur de vastes bases de code.
Cet article examine les fonctionnalités de CodeRabbit, la manière dont il résout les problèmes du SDLC (Cycle de Vie du Développement Logiciel), ses cas d’usage dans les Entreprises, les intégrations supportées et sa place dans le paysage concurrentiel des outils de développement basés sur l’IA.

Vue d’ensemble de CodeRabbit

CodeRabbit agit comme un réviseur de code IA qui s’intègre dans le flux de travail existant de l’équipe.
Le système se connecte aux plateformes de gestion de code source telles que GitHub, GitLab, Bitbucket et Azure DevOps pour examiner les modifications de code dans chaque PR.

Le service fournit des commentaires contextuels ligne par ligne, génère des rapports de synthèse et suggère même des corrections.
L’objectif est de « réduire le temps de revue de code et le nombre de bugs de plusieurs ordres de grandeur » (parfois de 50 %), permettant aux équipes tirant parti des outils d’IA d’avancer rapidement sans compromettre la qualité.

La portée de CodeRabbit est significative : il a analysé plus de 10 millions de PRs dans plus d’un million de dépôts (repositories), témoignant de sa valeur pour les organisations de développement rapide. Il est disponible sous forme d’application de service Git, d’outil CLI et d’extension IDE, ce qui en fait « le seul outil qui effectue des revues où que vous travailliez » (dans les PRs, VS Code ou le terminal).

Pour les utilisateurs Entreprise, la plateforme offre une sécurité et une évolutivité robustes. Elle est certifiée SOC 2 Type II et utilise un chiffrement SSL de bout en bout sans conservation des données après la revue.
Les entreprises peuvent choisir entre un déploiement SaaS et des options auto-hébergées (Self-hosted), avec un contrôle d’accès basé sur les rôles (RBAC) et un support pour GitHub Enterprise Server (sur site/on-prem).
L’accent est également mis sur la confidentialité et la conformité – avec des environnements éphémères,
le chiffrement et des options sur site – ce qui le rend adapté aux organisations ayant des exigences de sécurité strictes.

Démo : (Vidéo d’1 min)

Fonctionnalités et Capacités de CodeRabbit :

L’ensemble des fonctionnalités de CodeRabbit est vaste, visant à reproduire et à améliorer la minutie d’une revue de code humaine tout en automatisant les tâches répétitives.
Les principales fonctionnalités incluent :

  1. Analyse de Code Automatisée : Dans chaque Pull Request, le système effectue une revue IA combinée à une Analyse Statique. Il publie un commentaire « Walkthrough » résumant les changements et soulignant les problèmes potentiels, suivi d’un commentaire de revue détaillé signalant les bugs, les violations de style ou le manque de documentation et de tests. Les revues combinent les capacités de raisonnement des LLM avec plus de 40 Linters et scanners de sécurité pour une couverture élevée.
  2. Corrections en un clic : De nombreux problèmes sont accompagnés de suggestions de correction applicables en un seul clic. CodeRabbit propose des suggestions de commit en un clic pour les corrections simples et un bouton « Fix with AI » pour les modifications plus complexes, permettant aux développeurs d’appliquer les correctifs directement depuis l’interface de la PR.
  3. Résumés de PR & Diagrammes : Le système génère un résumé « TL;DR » des modifications et même des diagrammes visuels de l’architecture du code ou du flux d’exécution.
    Cela aide les réviseurs humains à comprendre la portée et l’intention du changement en un coup d’œil.
  4. Chat de Revue Interactif : Vous pouvez discuter avec le bot CodeRabbit en taguant @coderabbitai dans les commentaires de la PR. Le bot peut expliquer ses retours et même accepter des commandes. Cette capacité de Chat Agentique transforme chaque PR en une session collaborative. Par exemple, vous pouvez demander au bot de générer des Docstrings, et il ouvrira automatiquement une nouvelle PR avec les changements.
  5. Apprentissage et Règles Personnalisées : De manière unique, CodeRabbit apprend des retours de l’équipe. Si l’équipe n’est pas d’accord avec une suggestion, le bot s’adaptera à l’avenir.
    De plus, des instructions de revue personnalisées peuvent être définies via un fichier YAML, rendant la revue plus adaptée aux standards du projet au fil du temps.
  6. Analyse Enrichie par le Contexte : Le système construit un « Graphe de code » pour comprendre les dépendances entre les fichiers et intègre un contexte externe comme Jira ou des recherches web pour une documentation à jour. Cette profondeur de contexte aide l’IA à éviter les Faux Positifs.
  7. Vérifications Pré-Merge et Générateurs : Le système peut exécuter des vérifications pré-fusion (Pre-merge checks) personnalisées écrites en langage naturel, évaluer la couverture des tests et générer automatiquement des Tests unitaires ou des Docstrings manquants.
  8. Reporting et Analytique : Un tableau de bord analytique fournit aux responsables d’ingénierie des informations telles que le temps moyen de fusion des PRs, le nombre de problèmes détectés et le taux d’acceptation des suggestions CodeRabbit. Des rapports (tels que les résumés Daily Stand-up) peuvent être programmés pour être envoyés par e-mail ou sur Slack/Teams.

Toutes ces fonctionnalités fonctionnent avec une fiabilité de niveau Entreprise, utilisant des environnements cloud éphémères et le chiffrement des données en transit.

Répondre aux problèmes du SDLC et de l’ALM :

Les équipes de développement modernes, en particulier celles adoptant des outils de Pair Programming par IA, font face à de nouveaux défis. CodeRabbit a été conçu pour résoudre plusieurs problèmes du SDLC et de l’ALM (Gestion du Cycle de Vie des Applications) :

  • Goulots d’étranglement de la Revue de Code : Avec la génération rapide de code (par ex. via GitHub Copilot), les réviseurs humains peinent à suivre.
    CodeRabbit résout ce goulot d’étranglement en effectuant des revues immédiates et en fournissant des retours en quelques instants. Des entreprises ont rapporté des « processus de fusion 40 % plus rapides » après adoption.
  • Améliorer la Qualité du Code tôt : L’outil détecte les bugs avant que le code n’atteigne la Production. Il signale les cas limites (edge cases), les erreurs « Off-by-one » et les problèmes de sécurité potentiels.
    En adoptant une approche « Shift Left » (décalage de la détection des défauts vers la gauche) au stade de la PR, les corrections coûteuses plus tard dans le cycle sont évitées.
  • Cohérence et Bonnes Pratiques : Le système applique uniformément les guides de style et rappelle aux développeurs d’utiliser les modèles convenus. Il sert de base de connaissances évolutive des normes de l’équipe, ce qui est particulièrement utile pour l’Onboarding des nouveaux ingénieurs.
  • Fatigue du Réviseur et Couverture : Contrairement aux réviseurs humains qui fatiguent, CodeRabbit offre une couverture complète et ne saute pas de parties du code. Il filtre le bruit et ne présente que les problèmes significatifs, réduisant la charge mentale de l’équipe.
  • Gérer le Code Généré par IA : Le code généré par IA peut contenir 1,7 fois plus de problèmes que le code humain. CodeRabbit agit comme une « Porte de Qualité » (Quality Gate) pour ce code, fournissant une revue tierce pour détecter les erreurs d’outils comme Copilot.

Cas d’Usage Courants en Entreprise

  1. Revues de Pull Request Automatisées : Le cas d’usage principal est la revue automatique de chaque PR sur des plateformes comme GitHub et GitLab. Cela peut être configuré comme une vérification requise empêchant les fusions tant que la revue n’est pas terminée et que les problèmes critiques ne sont pas résolus.
  2. Assistant de Revue de Code dans l’IDE : Les développeurs peuvent recevoir des retours directement dans l’IDE (comme VS Code) avant même de faire un Push. Cela permet des vérifications Pre-commit et une résolution précoce des problèmes sans changer de contexte vers GitHub.
  3. Améliorations CI/CD : Intégration avec les systèmes de CI comme CircleCI et Azure DevOps pour identifier et corriger automatiquement les échecs de Build. C’est un pas vers l’« Auto-guérison de la CI » (Self-healing CI) et le « Shift Left ».
  4. Couverture des Tests Unitaires et Documentation : La capacité de générer des Tests unitaires et des Docstrings à la demande améliore considérablement la productivité et la maintenabilité du code.
  5. Onboarding des Développeurs : L’outil mentore les nouveaux développeurs en expliquant les écarts par rapport aux normes et en fournissant un contexte pour les problèmes, raccourcissant ainsi la courbe d’apprentissage.
  6. Collaboration Inter-équipes : La connexion à Jira et Slack transforme la PR en un hub collaboratif, impliquant des parties prenantes comme l’AQ et les Product Managers dans le processus de revue.
  7. Audit et Amélioration Continue : Les données de revue et les tableaux de bord sont utilisés pour l’amélioration des processus et les audits de conformité dans les industries réglementées.

Intégrations avec les Outils de Développement :

  1. Plateformes de Gestion de Code Source : Support pour GitHub (y compris Enterprise Server), GitLab, Bitbucket et Azure Repos. Ce support multiplateforme est critique pour les organisations ayant des environnements mixtes.
  2. Suivi des Tickets (Issue Trackers) : Intégration native avec Jira et Linear pour récupérer le contexte et gérer les tickets directement depuis la PR.
  3. Communication : Support de Slack et Microsoft Teams pour recevoir des alertes et des rapports. Le partenariat avec la plateforme PullFlow permet une synchronisation bidirectionnelle des commentaires.
  4. Outils CI/CD et DevOps : Fonctionne aux côtés de CircleCI, GitHub Actions, et utilise les résultats des outils SAST (comme SonarCloud) pour centraliser tous les signaux de qualité en un seul endroit.
  5. IDE et CLI : Extension pour VS Code et support CLI (commande coderabbit) permettant l’exécution de revues dans des environnements Headless ou des hooks Pre-commit. Une intégration existe également avec des IDE basés sur l’IA comme Cursor et Windsurf.
  6. Sources de Connaissances Externes : Utilisation de serveurs MCP (Multi-Context Provider) pour accéder aux bases de connaissances internes, et exécution de requêtes web pour récupérer des informations à jour sur les APIs ou les bibliothèques.

Résumé : S’adapter au SDLC Moderne

CodeRabbit démontre comment l’IA Générative peut être exploitée pour améliorer les pratiques d’ingénierie logicielle, non seulement en écrivant du code plus rapidement, mais en élevant la barre de la qualité du code et de l’efficacité des revues.
Dans un SDLC moderne, et spécifiquement au niveau Entreprise, il fonctionne comme un « Gardien du Code » basé sur l’IA, assurant que la vélocité du développement ne se fait pas au détriment de la maintenabilité ou de la sécurité.

L’outil s’inscrit dans le concept d’un cycle de développement piloté par l’IA : l’IA écrit le code, l’IA révise le code, et les humains supervisent et guident les deux.
L’adoption de CodeRabbit permet aux organisations d’accélérer la livraison, d’améliorer la qualité du code et d’autonomiser leurs ingénieurs, tout en maintenant les standards rigoureux requis dans le développement logiciel aujourd’hui.

Cet avis a été préparé par Tamir Gefen et l’équipe ALM Toolbox – les représentants officiels de CodeRabbit , fournissant conseil, support, assistance au choix de licence, vente de licences, et plus encore.
Pour plus de détails contactez-nous : devops.fr@almtoolbox.com
Ou par téléphone : +33 1 84 17 53 28 , 866-503-1471 (USA & Canada) ou +31 85 064 4633

Des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

Jean-Michel BonnetLeave a comment

github vulnerabilities

GitHub a signalé qu’un pirate exploitait apparemment une faille de sécurité ou
erreur humaine sur les applications tierces Travis et Heroku.

La faille de sécurité a exposé les jetons, permettant au pirate de voler les jetons et de les utiliser pour entrer dans des référentiels privés sur GitHub (y compris NPM)
il a donc réussi à télécharger ces référentiels – y compris tout le code et les informations qu’ils contiennent.

Cela signifie que : des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

Comment pouvez-vous empêcher un piratage similaire de votre dépôt git ?

Il existe plusieurs solutions différentes – et vous devez toutes les mettre en œuvre :

1) Réduire les autorisations

Si vous utilisez GitHub dans le cloud public (github.com) et donnez aux fournisseurs tiers un accès Oauth (le type de jetons volés) –
minimiser les autorisations que vous accordez à des tiers pour accéder à vos informations.

Vous devez également passer en revue les autorisations qu’ils demandent et vous assurer qu’elles ne sont pas trop larges et permissives.

Une erreur courante consiste à accorder des autorisations globales.

Il en va de même lors de l’octroi d’autorisations aux applications GitHub (qui génèrent également des jetons).

2) Ajouter des couches de protection

Vous devriez également envisager de passer à GitHub / GitLab Enterprise sur un serveur privé
(sur site / locataire unique / autogéré) derrière des couches de protection supplémentaires telles que pare-feu, SSO ou accès distant sécurisé,

ou utilisez uniquement des adresses IP autorisées (dans les éditions de cloud public), qui offrent des couches de protection supplémentaires contre les utilisateurs non autorisés du monde entier.

3) Protéger les secrets

Au-delà de cela – il est important que le fournisseur tiers stocke les jetons dans un outil de coffre-fort centralisé – ce qui aurait rendu très difficile pour les pirates d’obtenir les jetons (le rendant presque toujours inaccessible).

Si vous utilisez de tels tiers, vérifiez ou assurez-vous (dans le cadre de votre chaîne d’approvisionnement) qu’ils le stockent dans des outils Vault tels que Akeyless Vault (SaaS et une solution hybride) ou HashiCorp pour les réseaux fermés.

Il en va de même pour toute application qui accorde des autorisations d’accès à des tiers à l’aide de jetons.

ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider à protéger vos référentiels et vos environnements logiciels/cloud.

Contactez-nous : devsecops@almtoolbox.com   ou +33(0)1 84 17 53 28    

Baisse de prix GitHub Enterprise, les utilisateurs GitLab ont déjà des prix meilleurs

Gitlab France AdminLeave a comment

GitHub a réduit le prix de GitHub Enterprise à 210 $ par utilisateur et par an, au lieu de 252 $   auparavant  .

github vs gitlab pricing

Cette édition de GitHub Enterprise comprend toutes les fonctionnalités disponibles dans GitHub et peut être exécuté à la fois dans le cloud en tant que service SaaS géré par GitHub, à la fois en tant qu’auto-hébergé sur votre machine dans votre centre de données privé ou en tant que machine privée dans le cloud de votre choix.

Ce prix réduit et attractif (moyennant une cotisation annuelle) est destiné à donner un  “combat” au très populaire GitLab Premium et surtout pour son prix de 228$ par utilisateur par an (GitLab peut également être exécuté à la fois dans le cloud ou en tant qu’auto-hébergé avec vous ou sur votre machine privée dans le cloud).

Attention : GitHub limite ce  prix réduit aux 100 premiers utilisateurs et à la première année uniquement!

Notre société  EGDS – ALMtoolbox est le revendeur agréé GitLab, pour l’Europe et Israel.
Nous avons des experts qui peuvent vous accompagner :
  • Planifier une nouvelle implémentation
  • Mettre en place de nouveaux environnements
  • Vous aider à choisir la bonne licence d’abonnement pour vous
  • Implémenter l’intégration avec JIRA, Jenkins, Slack, Docker et d’autres outils
  • Personnalisations et développement de modules complémentaires
  • Formation GitLab et Git
  • Implémenter la migration à partir de Git, GitHub, BitBucket, TFS, ClearCase, RTC, Subversion (SVN), JIRA, Jenkins et plus
  • Services gérés
Contactez-nous: gitlab@almtoolbox.com ou 01 84 17 53 28 (France) / +972-722-405-222 (international) / 866-503-1471 (USA/Canada)

 

Lien utiles:

 

Atlassian a changé les règles. Que faire?

Jean-Michel BonnetLeave a comment

Dans l’article suivant, nous soulignons les options d’action basées sur les dernières mises à jour d’Atlassian qui ont étonné et mis en colère la communauté des utilisateurs d’Atlassian en Europe  et dans le monde (et nous en faisons partie)  et pour des raisons qui lui sont propres  a décidé d’éliminer ses produits  on  premise.

Étant donné que nous prenons en charge de nombreux clients on premise, nous avons reçu ces dernières semaines des dizaines de demandes avec la question “Que faisons-nous maintenant?”

Notre recommandation était d’attendre un peu (si possible) car il n’est pas nécessaire de prendre une décision urgente, et il vaut mieux voir si la situation  s’éclaircit après un certain temps. Maintenant, que les choses sont  devenues plus claires  et dans l’article ici, nous écrivons  pour la première fois des instructions et des options relatives à Jira et aux outils alternatifs (et plus tard, nous publierons des articles sur Bitbucket et Confluence).

Le message d’Atlassian en bref :

Le 16 octobre, Atlassian a publié une déclaration officielle disant (brièvement) ce qui suit:

Ils arrêtent de développer les produits suivants:

  • Jira Server
  • Jira Software Server
  • Bitbucket Server
  • Confluence Server
  • Crowd Server
  • Bamboo
  • Jira Service Desk Server
  • Il sera possible d’acheter de nouvelles licences pour les produits ci-dessus jusqu’au 1/2/2021 (le  prix des renouvellements augmentera  et le support des  innovations)
  • Le support et les mises à jour pour les produits ci-dessus peuvent être achetés jusqu’au 2/2/2022
  • Arrêt du support produit (et clôture définitive et complète) le 2/2/2024
  • Il sera possible d’acheter des applications tierces sur leur marketplace jusqu’au 02/02/2023

Il est recommandé de lire l’annonce officielle du fabricant – c’est celle qui est déterminante (lien vers celle-ci en fin d’article).

Que peut-on faire avec Jira à partir de maintenant?

  1. Vous pouvez accéder au cloud public Atlassian. Nous aidons les entreprises à explorer les significations et les coûts, et savons également comment réduire les coûts de toutes sortes de façons – j’ai inclus une astuce sur le sujet dans les liens à la fin de cet article.
  2. Vous pouvez basculer vers les solutions de centre de données d’Atlassian (il s’agit en fait d’une solution à haute disponibilité qui peut être exécutée sur site ou dans le cloud), mais il est important de garder à l’esprit que les prix peuvent être considérablement plus élevés.
  3. Il est possible de rester sur Jira Server (même si on s’attend à ce qu’il cesse d’évoluer et de se mettre à jour). Nous proposons notre propre support produit comme nous l’avons fait ces dernières années.
  4. Et on peut bien sûr envisager au-delà d’autres outils

Si vous ne souhaitez pas rester avec Atlassian Jira, vous avez le choix entre plusieurs options:

Nous avons divisé les options ici en 2 catégories: votre propre serveur privé ou cloud.

Toutes les options ici incluent des outils que nous connaissons bien; les outils que nous avons testés et ceux que nous représentons et leur proposons un support, des formations, des licences et plus encore.

Nous avons divisé les options ici en 2 catégories: votre propre serveur privé ou cloud.

Toutes les options ici incluent des outils que nous connaissons bien; Les outils que nous avons testés et ceux que nous représentons et leur proposons un support, des formations, des licences et plus encore.

Si vous préférez votre propre serveur (auto-hébergé / sur site):

  • GitLab – GitLab a la capacité de gérer des tâches en plus du code et de la gestion CI / CD afin que tout soit dans un seul package (plus d’informations ici). Nous sommes officiellement certifiés pour soutenir le produit depuis 2017, et les représentants officiels de GitLab en France et dans d’autre pays.
  • Taiga – un outil relativement ancien, basé sur l’open source. Nous sommes qualifiés pour fournir un support technique pour le produit (en coopération avec le fabricant). L’outil est destiné à ceux qui souhaitent passer à des méthodes agiles telles que Agile, Scrum, Kanban, etc. et qui recherchent un remplaçant pour des outils tels que Jira ou Asana. Nous sommes les seuls représentants officiels du produit en Israël. Plus de détails peuvent être lus ici.
  • OpenProject – Un ancien outil basé sur l’open source, conçu pour gérer des projets et des tâches qui ne sont pas nécessairement basés sur Agile (et les produits ne sont pas nécessairement du code). Nous sommes les seuls représentants officiels du produit en Israël. Plus de détails peuvent être lus ici.
  • Azure DevOps – gestion des tâches, gestion de code basée sur git, gestion des tests et CI / CD afin que tout soit dans un seul package (ancien basé sur TFS).
  • HCL Compass – Gestion de tâches et de projets – un outil riche avec une variété de capacités et de personnalisations pouvant être effectuées, similaire à Jira.
  • Managed ClearQuest – un produit que nous supportons depuis plus de 20 ans.

Si vous préférez une solution cloud plutôt que d’avoir votre propre serveur:

GitLab – Similaire à ce que est écrit ci-dessus

  • Taïga – ibid
  • OpenProject – ibid
  • Azure DevOps – ibid
  • ClickUp – un outil de partage qui comprend des documents, des tâches, des discussions, des destinations et plus
  • Miro – un outil innovant pour la planification des tâches, la collaboration entre les personnes, le travail agile et plus
  • Trello – Gérez facilement les tâches et les projets (généralement pas pour les projets complexes)
  • Managed Compass (serveur géré privé dans le cloud)
  • Managed ClearQuest (cloud privé et géré)

Nous savons  que la sélection est large… donc dans un futur proche vous pouvez nous contacter par email à l’adresse suivante devops.fr@almtoolbox.com pour  que nous vous aidions  à trouver l’outil qui correspond le mieux à vos besoins.

Pour certains des outils, nous avons également un environnement «sandbox» à expérimenter, et s’il est disponible, nous pouvons vous en donner un accès temporaire.

Conseil: Parfois, la meilleure façon de choisir rapidement l’outil qui vous convient est de définir des critères pondérés, puis d’effectuer une sélection préliminaire pour sélectionner quelques outils “finalistes”, puis d’effectuer un examen plus approfondi de ces outils finaux.

L’équipe d’ EGDS ALM-Toolbox est expérimentée dans tous les outils ci-dessus et travaille avec ALM et DevOps depuis plus de 15 ans. Nous pouvons vous aider sur les aspects suivants:

Aide à choisir les bons outils pour votre organisation

Aide à la sélection de la licence la plus appropriée en fonction des besoins

Passer à de nouveaux outils et transférer du matériel rapidement et en toute sécurité (migration)

Au-delà du cloud (Jira Cloud) et examinez si votre environnement actuel peut réellement passer au cloud

Connecter les outils et les adapter aux processus de développement – en particulier avec git, Jenkins, Kubernetes, des outils de chat (tels que Slack / Mattermost) et plus

Planification et construction de processus complets de développement et de DevOps, qui incluent à la fois l’aspect méthodologique et la combinaison des outils eux-mêmes – y compris la gestion de code, CI / CD, révision de code et processus d’analyse de code pour améliorer la sécurité du code que vous développez ou utilisez

Conseils et conseils dans les étapes de mise en œuvre
Support technique (y compris l’option SLA)
Pour plus de détails contactez-nous: devops.fr@almtoolbox.com ou par
téléphone: 01 84 17 53 28

Et qu’en est-il de Bitbucket et de Confluence?

Dans le prochain article, nous écrirons  sur les directions possibles pour les alternatives Bitbucket. Vous pouvez nous envoyer un e-mail (à l’adresse ci-dessus) si vous souhaitez recevoir une mise à jour dès sa sortie (ou contactez-nous maintenant si le problème est urgent  pour vous).

Liens pertinents:

L’annonce officielle d’Atlassian

 

 

GitHub suit GitLab et Bitbucket et offre un référentiel privé gratuit dans le cloud

Jean-Michel BonnetLeave a comment

GitHub suit GitLab et Bitbucket

GitHub propose à partir d’aujourd’hui, pour la première fois, des référentiels privés gratuits, dans son cloud public.

La limite est fixée à 3 utilisateurs et contributeurs de code (“Collaborateurs”), et au-delà, le service devient payant comme il l’était jusqu’à présent.

Pour qui est-ce bon ? Pour ceux qui veulent construire un simple projet parallèle ; Enregistrer des fichiers en privé ; Essayez d’exécuter un extrait de code en privé avant de l’exposer publiquement, etc.

À mon avis, la nouveauté est de mettre un terme à l’abandon des utilisateurs (beaucoup ont quitté Microsoft ces derniers mois) et à un changement dans lequel Microsoft obligera les utilisateurs de GitHub à travailler sur Azure et à payer Azure (et à obtenir GitHub gratuitement).

Dans le nouveau mode, la différence entre les outils communs, dans la version cloud, est la suivante :

  • Comme mentionné précédemment, chez GitHub, il y a jusqu’à 3 utilisateurs gratuits
  • Bitbucket permet jusqu’à 5 utilisateurs gratuits
  • GitLab ne limite pas le nombre d’utilisateurs gratuits

GitLab offre le volume de dépôt le plus généreux (jusqu’à 10 Go de stockage gratuit par dépôt, GitHub a une limite maximale de 1 Go et Bitbucket jusqu’à 2 Go).

Synthèses des différences (et points) dans la version cloud publique :

Utilisateurs gratuits Taille maxi référentiel (Gb) Taille maxi fichier individuel (MB) Nombre maximal d’appels par heure (par client)
GitHub 3 2 100 5000
GitLab Pas de limite 10 Pas de limite, selon la taille référentiel 36000
BitBucket 5 1 Pas de limite, selon la taille référentiel 5000

(Mise à jour du 8/1/2019) : Ce matin, nous avons passé en revue des réactions de par le monde de changement majeur. Beaucoup ont exprimé leur inquiétude quant au fait que “si vous obtenez quelque chose gratuitement, vous devenez le produit” et à la vieille crainte que des référentiels publics soient piratés de temps en temps (comme des attaques DDOS). Beaucoup ont répondu que si la peur est grande, il est toujours possible de construire un tel serveur privé, et même gratuitement (avec GitLab).

Les versions sur site / auto-hébergées indiquent que le choix a été fait et que toutes les enquêtes des deux dernières années indiquent qu’au moins 70% des nouveaux projets ouverts – en particulier dans les entreprises développant des logiciels – choisissent GitLab (des slides et des liens vers des enquêtes sont disponibles sur notre blog).

Et il y a aussi une nouvelle version de GitHub Enterprise

Et il y a une autre chose qui est maintenant nouveau dans GitHub – la version Enterprise peut être achetée par le nombre exact d’utilisateurs (pas des dizaines d’utilisateurs comme cela a été le cas), similaire à la licence GitLab.

ALMtoolbox est spécialisé dans le développement et le test pour la campagne DevOps et pour l’amélioration des processus de travail comprenant outils des développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres. , Nous offrons les services de Consultant et vente de licences d’outils (la liste complète des outils est disponible ici).

ALMtoolbox est le seul représentant officiel de GitLab en France  et dans d’autres pays.

Pour des questions:  01 84 17 53 28 elig@almtoolbox.com