LA GLOBULE

Open Source : un marché à 5,8 Mds $ d'ici 2011 ?

D'après IDC, l'industrie du logiciel libre autonome - entendre les applications dédiées à une tâche spécifique et non les systèmes d'exploitation ou les environnements logiciels - aurait généré 1,8 milliard de dollars de revenus en 2006, et devrait continuer à progresser jusqu'à atteindre 5,8 milliards de dollars en 2011, soit une croissance annuelle d'environ 26% sur les quatre prochaines années.

Le milieu professionnel serait désormais de plus en plus enclin à se tourner vers des logiciels open source payants, ces derniers constituant une alternative intéressante aux solutions propriétaires : moins onéreux, ils autoriseraient en outre une plus grande flexibilité dans les usages.

Matt Lawton, l'auteur de l'étude, explique qu'il faut s'attendre à un décalage entre l'adoption des logiciels libres en entreprise et les revenus générés par ce secteur. Alors que les solutions propriétaires sont le plus souvent commercialisées à l'acte, accompagnées d'une éventuelle offre de services (support technique par exemple, les logiciels libres sont encore souvent vendus sous forme d'abonnements (licences), lorsqu'ils ne sont pas distribués gratuitement, ce qui ne permettrait pas encore d'en tirer le plein potentiel économique.

Aujourd'hui, l'open source se tournerait de plus en plus vers les modèles de distribution traditionnellement utilisés par les éditeurs de logiciels propriétaires, qui favoriseront son développement, d'autant que le secteur bénéficie désormais du soutien des investisseurs qui conçoivent désormais le logiciel libre comme une source potentielle de revenus.

• Auteur
  LA GLOBULE
• Ecrire un commentaire

PEAR::DB est mort

David Coallier rappelle que PEAR::DB est mort et enterré. La solution d'abstraction de base de données de PEAR était l'une des deux bibliothèques les plus utilisées, mais désormais, elle a été fusionnée avec le paquet MDB2.

MDB2 est réputé plus rapide que PEAR:DB, et assure des fonctionnalités plus étendues, comme l'abstraction de pilotes, de fonctions, de commandes SQL et de séquences. MDB2 permet aussi la rétro-ingénierie de schéma.

- PEAR::DB is DEPRECATED, GOT IT ?
- MDB2
- How to use PHP and PEAR MDB2 (Tutorial)

• Auteur
  LA GLOBULE
• Ecrire un commentaire

MySQL prévient Microsoft sur sa crédibilité open source

Mårten Mickos monte au créneau face aux menaces de poursuite que Microsoft fait planer sur le monde Open Source.

Mårten Mickos déclare : "Cela blesse leur [Microsoft] crédibilité. Le problème qui émerge est que si Microsoft est capable de faire un procès à Linux pour violation de brevets, qu'est-ce qui va les empêcher de faire le même procès à leurs clients ? En tant que client utilisateur, je serais inquiet d'utiliser un éditeur qui menace de me trainer au tribunal."

- MySQL warns Microsoft on open source credibilty

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Une base de données des XSS recensées

Note de l'auteur :

Via GnuCitizen, je viens de découvrir xssed, un site qui recense les vulnérabilités dans les 500 premières applications Web classées par Alexa (c'est à dire, grosso modo les plus populaires). Les chiffres sont effrayants : plus de 5000 vulnérabiltés, 39 corrigées, 14 en attente. Il y a même une liste des sites, classé par PageRank.

GnuCitizen est inquiet du fait qu'il existe un moyen simple pour retrouver des sites vulnérables, et que cela aide considérablement les pirates à automatiser la mise en place d'un vers géant. En combinant les attaques sur divers sites, il devient possible de monter un raz-de-marée XSS incroyable.

- The Next Super Worm
- XSSED
- Top pagerank list

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Comportement bizarre avec NULL

Imaginez un peu : vous cherchez dans une table une ligne avec une colonne NULL et MySQL vous renvoie une ligne. Mais la colonne que vous demandez n'est pas NULL... Puis, vous demandez une nouvelle fois cette ligne, et à la deuxième sollicitation, elle a disparu ! Bizarre ?

Non, une fonctionnalité nécessaire pour assurer la compatibilité avec Microsoft Access.

- Why IS NULL doesnt always work in MySQL

• Auteur
  LA GLOBULE
• Ecrire un commentaire

PHP 5.2.3 disponible

L'équipe de développement de PHP annonce la disponibilité immédiate de PHP 5.2.3. Cette version continue d'améliorer la sécurité et la stabilité de la branche PHP 5.x, et corrige en même temps 2 régressions introduites dans les versions précédentes. Ces régressions sont liées concernent les délais d'expiration avec les connexions non-SSL, et l'absence de HTTP_RAW_POST_DATA dans certaines conditions. Tous les utilisateurs sont encouragés à passer à ces versions aussitôt que possible.

Plus de détails sur la version 5.2.3 sont disponibles dans l'annonce finale de la version 5.2.3, mais la liste complète des modifications et corrections est notée dans le Changelog.

Améliorations de sécurité et corrections de PHP 5.2.3 :
- Correction d'un dépassement de capacité entier avec chunk_split() (par Gerhard Wagner, CVE-2007-2872)
- Correction d'une boucle infinie dans imagecreatefrompng. (par Xavier Roche, CVE-2007-2756)
- Correction d'une vulnérabilité email dans ext/filter (MOPB-45 by Stefan Esser, CVE-2007-1900)
- Correction du bogue #41492 (contournement de open_basedir/safe_mode avec realpath()) (par bugs point php point net chez chsc point dk)
- Amélioration de la correction pour CVE-2007-1887 : elle fonctionne avec les sqlite2 lib non-distribuée.
- Ajout de mysql_set_charset() pour permettre la correction de l'encodage de connexion.

Pour les utilisateurs passant à PHP 5.2. depuis PHP 5.0 et 5.1, un guide de mise à jour est disponible : il détaille les modifications entre ces versions et la 5.2.3.

- PHP
- L'annonce de PHP 5.2.3
- Téléchargement PHP 5.2.3
- Changelog of PHP 5
- Guide de migration

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Linux : sortie de la distribution Fedora 7

Le Fedora Project, sponsorisé par l'éditeur Red Hat, annonce aujourd'hui la sortie de la version 7 de la distribution Fedora, son système d'exploitation libre et gratuit. Basé sur le noyau Linux 2.6.21, celui-ci embarque les technologies de virtualisation KVM (Kernel-based Virtual Machine) et Qemu, ainsi qu'un ensemble d'applications libres et gratuites, à commencer par le navigateur Firefox. Elle intègre également, au choix, les environnements de bureau Gnome 2.18 et KDE 3.5.6. Enfin, pour la première fois, le Fedora Projet garantit la prise en charge de son système par la console Playstation 3.

Fedora 7 est accompagné du thème "Flyinh High", mis à jour pour l'occasion, d'une nouvelle couche Firewire ainsi que de "Nouveau", une première ébauche de pilotes open source pour cartes graphiques Nvidia. Le Fedora Project précise enfin que la distinction entre Fedora Core et Fedora Extras n'est plus d'actualité. Le système intègre une plateforme de développement, et permet à tout un chacun de créer sa propre image du système, sur CD, DVD ou clé USB, afin de disposer d'un Fedora personnalisé selon ses besoins.

Interrogé par Infoworld sur la compétition qui oppose Fedora à Ubuntu, Max Spevack, responsable du Fedora Project, explique qu'Ubuntu tente de répondre à tous les besoins en multipliant les versions de son système, allant jusqu'à des marchés de niche, alors que Fedora ambitionne d'accompagner l'utilisateur dans la création de son propre système de niche.

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Top 10 des vulnérabilités 2007 par OWASP

OWASP publie son tableau annuel des vulnérabilités des applications Web. C'est un tableau qui recense les vulnérabilités les plus courantes, ainsi que les outils de base pour se prémunir contre ces problèmes. L'objectif est de donner aux développeurs une liste de vérification pour produire du code sécuritaire.

Ce tableau est mis à jour tous les ans, car les systèmes de détection de vulnérabilité évoluent chaque année, et même après avoir protéger votre code, vous pourriez être vulnérables à une nouvelle attaque quelque mois après.

La plus grande menace est XSS, qui n'affecte pas PHP ni MySQL mais les utilisateurs des applications. PHP apparait dans la deuxième catégorie des injections (cela couvre les injections SQL, LDAP, XPath, XSLT, HTML, XML, système, etc.).

- Top 10 2007
- Top 10 2007 : Where to Go From Here

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Utiliser les objets PDO en PHP 5

La bibliothèque PDO est un progrès considérable pour PHP.
Elle brille particulièrement lorsqu'il faut mettre en place des applications capables de communiquer avec différentes bases de données. Mais elle possède d'autres fonctionnalités pratiques.

Cet article, le premier d'une série de trois, vous emmène dans le monde merveilleux de cette bibliothèque.

- Using PDO Objects in PHP 5

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Les analyseurs automatiques et les humains se complètent en sécurité

C'est le fond du message de Jeremiah Grossman, dans son billet du jour.

Les humains sont capables d'analyser une application pour ses fonctionnalités de haut niveau, dépendantes du contexte. Les analyseurs sont capables de vérifier les problèmes techniques, de manière exhaustive. Dans 47% des cas, les analyseurs automatiques et les humains découvrent des vulnérabilités que l'autre ne trouve pas.

Il reste donc beaucoup d'innovation en perspective pour améliorer la sécurité.

- What scanners can and can't find. Who cares and why does it matter ?

• Auteur
  LA GLOBULE
• Ecrire un commentaire