Présentations

Les failles sont détectées 212 jours après leur introduction

Il faut en moyenne 212 jours pour détecter une faille de sécurité. Et au moins 50% des sites web contiennent une vulnérabilité critique. Vous en faites peut être partie.

Les tests d'intrusion, un moyen temporaire de détecter et fixer ses failles

Bien souvent, les failles de sécurité sont comme le monstre qui se cachaient sous notre lit étant enfant. Nous en avons peur sans oser les regarder en face. Un petit test d’intrusion nous rassure pour quelque temps comme les parents nous assurant qu’il n’y a rien. Mais ont-ils bien regardé ? Et les quelques monstres qu’ils ont chassés, sommes nous sûrs qu’ils ne reviendront pas demain ?

Il est nécessaire d'automatiser et de comprendre les causes des failles

Mon but est de démystifier les failles de sécurité en les considérant comme des défauts dont il faut fixer la cause profonde. Comme un testeur QA (Quality Assurance), l’expert cybersécurité vient vérifier au quotidien l’introduction de failles. Il aide à comprendre la cause de la faille et à mettre en place des moyens de protection en amont grâce à un outil Lean: le QRQC / Dantotsu.

Des outils pour détecter et éradiquer les vulnérabilités

En sortant de ce talk, vous aurez une méthode pour détecter et éradiquer les vulnérabilités sur vos projets grâce à trois axes:

• Avoir moins peur d’aller voir vos failles de sécurité
• Comprendre certains outils d'automatisation de cybersécurité
• Utiliser un outil Lean pour mieux analyser vos failles et mettre en place des contre-mesures durables automatiques

WebAssembly (WASM) s'est rapidement imposé comme un outil révolutionnaire dans le monde du développement web, permettant l'exécution de code à haute performance directement dans le navigateur. Cependant, son potentiel s'étend bien au-delà du client, offrant de nouvelles possibilités passionnantes pour le développement côté serveur. Cette conférence plongera dans le monde émergent de WASM côté serveur, avec un accent particulier sur WebAssembly System interface (WASI). Nous explorerons comment WASI étend les capacités de WASM en permettant aux applications d'interagir de manière sécurisée avec le système d'exploitation, ouvrant la voie à une nouvelle ère d'applications serveur.

Notre présentation débutera par une introduction à WASM et WASI, définissant leur place dans l'écosystème de développement actuel et expliquant pourquoi ils sont particulièrement pertinents pour les développeurs modernes. Nous discuterons ensuite des avantages spécifiques de l'utilisation de WASM côté serveur, notamment en termes de performance, de sécurité et de portabilité, soulignant comment ces caractéristiques peuvent transformer la façon dont nous développons et déployons des applications. La partie centrale de notre conférence se concentrera sur des études de cas concrets et des démonstrations pratiques. Nous montrerons comment l'intégration de WASM et WASI dans des environnements serveur peut résoudre des problèmes courants de manière innovante, améliorant à la fois l'efficacité et la robustesse des applications. Des exemples de code et des scénarios d'application seront utilisés pour illustrer ces concepts en action, offrant aux participants une compréhension profonde et pratique de la technologie. Enfin, nous discuterons des défis et des considérations pour l'adoption de WASM et WASI côté serveur, y compris les meilleures pratiques pour l'intégration dans vos projets existants.

Que vous soyez un développeur expérimenté cherchant à tirer parti des dernières innovations technologiques ou simplement curieux de découvrir comment WASM et WASI peuvent révolutionner le développement côté serveur, cette conférence vous fournira les connaissances et les outils nécessaires pour commencer à intégrer ces technologies puissantes dans vos applications.

Au cours des 18 derniers mois, Github Copilot a captivé l'attention de plus d'1,7 million de développeurs, devenant une référence incontournable dans le domaine de l'intelligence artificielle générative.

Tug exposera l'architecture de Github Copilot. Fort de son expérience, il mettra en lumière divers cas d'utilisation à travers des démonstrations pratiques. Cette présentation ne se limitera pas aux aspects positifs, car Tug partagera également les écueils à éviter et les connaissances essentielles pour naviguer avec succès dans l'univers de Github Copilot, tout en explorant son impact significatif sur le quotidien des développeurs.

La session sera ponctuée de nombreuses démonstrations impliquant les langages de programmation front-end et back-end tels que Java, JavaScript, TypeScript, Python, et même un soupçon d'improvisation en fonction des commentaires et des questions de l'auditoire. Tug montrera également l'utilisation de l'IA tout au long du cycle de développement: découverte du code, PR & Issues, Revue de Code, …

Web Assembly (WASM) et les Web Components sont disponibles sur touts les navigateurs. On doit donc pouvoir sortir de l’hégémonie de JS/TS pour écrire nos composants.

Quels sont les difficultés, les intérêts, les inconvénients ? Venez découvrir une nouvelle façon de faire du Web !

L’arrivée de l’intelligence artificielle générative dans l’écosystème des développeurs suscite de grands espoirs. Son expérimentation permet maintenant d’avoir les premiers retours d’expérience et de se poser de nouvelles questions.

Par exemple, la génération de code traditionnelle basée sur des moteurs de templates est-elle remise en cause par l’IA générative? Ces deux principes sont-ils opposés ou complémentaires? Comment les positionner dans le cycle de vie du logiciel pour une efficacité maximale?
Cette présentation aborde ces différents aspects vus de la fenêtre des développeurs et des tech-leads.

C’est l’occasion de comparer ces deux principes de génération de code pour choisir la solution la mieux adaptée selon le contexte et pourquoi pas mixer le deux…

Elles sont tapies dans la toile de fond de nos entreprises, de nos sociétés, de notre façon de penser, même ! On a beau essayer de lutter contre, de les fuir ou de les contourner, elles finissent toujours par nous retomber dessus.

Ce sont… Les Méta-lois ! 😱

Plan:

• Ce qu'on appelle une Méta-loi: la plus connue est la loi de Conway, mais il y en a bien d'autres ! Qu'est-ce qui les caractérise ? Où est la limite à « penser en Meta-Loi » ?
• Inventaire à la Prévert des différentes Méta-Lois (Le "Chesterton Fence" et le raisonnement de second ordre, La Loi de Hyrum qui rappelle que tout comportement d'une API finit par avoir un client qui en dépend, ou encore la Loi de Tesler qui explique qu'on ne fait jamais vraiment disparaître de la complexité, et bien d'autres !), et pour chacune une explication/illustration de pourquoi on n'y échappe pas, en général
• Remédiation, Déni, Changement de paradigme: Comment s'en sortir et pourquoi ça ne sera pas simple.

Vous pensez que votre projet se passe bien ? Regardez bien sous votre IDE en vous couchant ce soir, fermez vos fenêtres et vos dossiers à double tour, car sinon les Méta-loi ne feront qu'une bouchée de vous ! 🎃

Une conférence sous le signe de la bienveillance, de l'humilité, et de l'humour ;)

Dans mon métier, en plus de développer, j'ai la chance de pouvoir enseigner de manière régulière.

On se souvient tous de cours qui nous ont plu et d'autres qu'on a détesté. Mais quand c'est à notre tour d'enseigner le développement, qu'est ce qu'il se passe ? Avec maintenant un peu de recul, on va parler ensemble de ce que j'aurai aimé savoir quand je me suis lancé. Qu'est ce que ça m'a demandé ? Qu'est ce que ça m'a apporté ? Les bons et les mauvais aspects. Un petit retour d'expérience en vrac d'une aventure pas si facile que ça.

Et au final, est ce que ça a changé quelque chose dans mon métier de développeur ?

Présentation

Ce talk explorera les "generators" en JS (protocoles Iterator et Iterable, …) pour simplifier les traitements des flux de données asynchrones.

Déroulement

Cette présentation suivra le format suivant:

1. Introduction: contexte, défis du traitement asynchrones en JS, présentation des generators et leurs avantages, mise en bouche avec un exemple "simple"
2. Fonctionnement des generators: présentation des concepts clés et différences avec des fonctions classiques
3. Cas pratique: démonstration complète d'un traitement de préparation de données provenant d'une base de données (avec présentation des tests pour aller jusqu'au bout)
4. Pour aller plus loin: présentation de cas avancés
5. Conclusion

Venez découvrir "Signals", concept clé du développement Web de demain, qui date pourtant de… 2010.

Dans cette courte conférence à destination des développeurs Frontend, vous apprendrez que l'écosystème Web a bien mûri en 10, notamment en ce qui concerne la gestion de l'état de vos applications.

Que vous soyez développeurs Angular, React, Vue, Svelte, ou tout simplement VanillaJS, vous êtes concerné par ce changement !

L'objectif de Signals est de fournir une interface unique et commune à l'ensemble des frameworks Web, afin de gérer leurs variables réactives, tout en restant simple et performant.

Cette présentation s'appuiera sur des portions de code, afin de démontrer l'intérêt de cette nouvelle notion et comment l'implémenter dans nos usages.

"À l'aube d'une grande aventure", embarquerez-vous à bord de ce talk, à la recherche de l'expérience de développement idéale ?

React a commencé par être une librairie minimaliste, et ultra permissive. Ça veut dire que les possibilités de créations ne sont limitées que par l’imagination du développeur.

Ça veut aussi dire qu’on peut facilement s’y perdre… et faire des choses qui ne devraient pas être faites. “Un grand pouvoir implique de grandes responsabilités”.

Les grands maux de React, c’est surtout les mauvaises architectures, bad practices, et des erreurs de jeunesse qui peuvent transformer une bonne idée en spaghetti code, et ralentir voire carrément stopper un projet.

Lors de ce talk je vous propose de mettre en place un squelette de projet React toutes options. On explorera aussi différentes bonnes pratiques et quelques design patterns qui permettront de construire vos applications en toute simplicité.

Vous repartirez avec une codebase prête à l’emploi, des librairies nice-to-have pour répondre à certains enjeux spécifiques, et plein de bonnes idées pour aller refactorer vos projets !

Lors de cette présentation, vous allez découvrir comment une petite équipe de dév a réussi à monter une infrastructure dans AWS qui répond à des besoins de scalabilité forte, tout en étant robuste et avec des coûts maîtrisés.

Nous allons parcourir la pipeline depuis l’ingestion, en passant par l’agrégation pour finir par la restitution de la donnée.

Nous aborderons beaucoup de services AWS : Lambda, ECS, ELB, Athena, Kinesis & Firehose, et bien d’autres… Nous verrons également comment le tout est déployé.

Enfin, nous aurons un aperçu de comment maîtriser la scalabilité, la sécurité et les coûts au fil du temps.

Foreign Function Interface

Les FFI sont maintenant un mécanisme connu mais encore trop peu utilisé.

Offrant la possibilité d'allier des langages entre eux et de combiner les forces, cette promesse peu s'avérer parfois compliqué à mettre en oeuvre.

Cette complexité s'explique notamment du fait de trouver le problème qui correspond à cette réponse ainsi que la peur de conjuguer différentes technos entre elles.

Le talk

L'objectif de ce talk est de présenter concrètement la création d'une FFI en RUST, son build et son utilisation dans du code Node.js

Il se composera de différentes parties:

1. Introduction: contexte, présentation de Rust et ses caractéristiques clés, rôle des FFI ainsi que leurs avantages
2. Fonctionnement des FFI: explication des concepts clés, spécificités dans le cas de Rust x Node.js
3. Développement d'une FFI et intégration dans du code Node.js
4. Conclusion et piste pour aller plus loin

À l'heure de l'innovation fondée sur les données, l'apprentissage automatique collaboratif est une nécessité absolue. Mais comment y parvenir tout en préservant la confidentialité des données ? L'apprentissage fédéré (Federated Learning, FL) offre une réponse. L'apprentissage automatique traditionnel repose sur l'agrégation centralisée des données, ce qui soulève des problèmes de confidentialité et entrave la participation. Le Federated Learning relève ce défi en permettant un entraînement distribué sur des données stockées localement, ouvrant ainsi la voie à une IA collaborative sans compromettre la vie privée. Ce talk se penche sur le potentiel de transformation de l'apprentissage fédéré en permettant un développement sécurisé et collaboratif de l'IA à travers deux dimensions distinctes : cross-devices et cross-silos :

• cross-devices : Cette approche se concentre sur la formation collaborative entre de nombreux appareils, tels que les smartphones ou les appareils IoT. Elle permet d'obtenir des modèles personnalisés et d'améliorer l'expérience des utilisateurs tout en protégeant la vie privée de chacun.
• cross-silos : Cette approche facilite la collaboration entre différentes organisations ou entités dont les données sensibles sont stockées dans des silos distincts. Elle permet aux entités de former collectivement des modèles puissants sans révéler leurs données privées.

Dans ce talk, nous explorerons le potentiel de transformation de l'apprentissage fédéré dans le développement d'une IA sécurisée et respectueuse de la vie privée. Découvrez comment l'apprentissage fédéré permet un apprentissage distribué à la fois sur les appareils personnels et les silos organisationnels, tout en protégeant la confidentialité des données.

Vous vous êtes toujours demandé comment rater à coup sûr une présentation devant vos collègues ou votre comité de direction. Et bien, ne cherchez plus, venez dans ce talk pour découvrir comment être un·e orateur·rice exécrable.

Entre mauvaises pratiques et erreurs de présentation, vous verrez comment transformer un mauvais jeux de slides en une présentation percutente et captivante. Le tout en s’amusant grâce à une légère dose d’autodérision 🫠…

Tester unitairement ses composants graphiques c'est bien, tester le bon fonctionnement de toute son application via un navigateur pilotable programmatiquement c'est mieux !

Je vous propose de vous présenter par la pratique Playwright, un outil permettant de tester les fonctionnalités de vos applications de manière performante dans tous les grands navigateurs du marché.

J'ai longtemps été un amoureux de Cypress pour ce genre de cas d'usage, mais j'ai été récemment très séduit par Playwright, qui propose à mon avis une meilleure expérience développeur via un outillage très complet.

Kubernetes est devenu le standard de facto pour déployer et exploiter des applications conteneurisées. Mais comprendre Kubernetes peut s’avérer difficile ou prendre beaucoup de temps.

Il y a quelques années, je me suis demandé comment j'imaginais les concepts de Kubernetes : un pod, un déploiement, un service, un secret, une configmap, un cronjob… et j'ai ensuite créé une nouvelle façon d'expliquer les technologies Cloud.

Dans la première partie de ce talk, je vais vous raconter une histoire, je vais vous raconter mon histoire. Comment, pendant plus de deux ans, j'ai travaillé chaque soir/nuit/week-end pour expliquer Kubernetes dans des sketchnotes, des articles de blog, des vidéos et finalement publié dans un livre illustré de plus de 270 pages (avec tous les concepts incluant le Debugging ainsi que des outils et des tips) et pourquoi je continue à le faire.

Et dans la deuxième partie, je vous expliquerai Kubernetes… de manière visuelle :-).

Qui n'a jamais été obligé de réinitialiser un mot de passe oublié, ou n'a pas écrit son mot de passe sur un post-it à cause de politiques de sécurité trop restrictives (un post-it que vous avez fini par perdre vous aussi) ? Qui ne s'est pas plaint des procédures d'authentification forte appliquées par les banques pour les paiements du e-commerce depuis la mise en œuvre de la DSP2 ?

Vous êtes-vous reconnu dans au moins une des questions ? Vous êtes donc forcément intéressé par FIDO ! Pas les croquettes pour chien, mais le protocole FIDO, Fast IDentity Online.

Avec l’amélioration des technologies et le déploiement de la biométrie, le mot de passe ne devrait plus être l’identifiant privilégié. FIDO Webauthn est un protocole qui vise à créer un avenir sans mot de passe en proposant différents facteurs alternatifs tels que :

• la biométrie : reconnaissance faciale via caméra d'ordinateur portable ou reconnaissance d'empreintes digitales

• les « passkeys » (que l’on peut traduire par « clés d’accès »), un système en gestation depuis des années et aujourd'hui déployé par Apple, Microsoft et Google.

En tant qu'experts techniques dans le domaine du paiement, nous travaillons quotidiennement à améliorer le processus d'authentification sans compromettre sa sécurité. Nous vous proposons une vision complète des challenges actuels de l'authentification (les différents types, les fraudes, les innovations), puis un focus sur ce qu'est le protocole FIDO Web Authentication, en quoi il consiste, sur quoi se repose la sécurité de ce protocole. Nous continuerons avec une démo et un aperçu du code nécessaire à l'utilisation de ce moyen d'authentification sécurisé.

L'évolution rapide du paysage technologique d'aujourd'hui pousse les organisations à dépasser les silos traditionnels pour favoriser l'innovation et l'excellence opérationnelle. Cette transformation commence par l'adoption des principes DevOps, qui renforcent la communication, la collaboration et l'automatisation entre les équipes de développement et d’exploitation. Toutefois, DevOps se concentre principalement sur la relation entre ces équipes, laissant de côté les besoins des autres parties prenantes.

Notre conférence propose un voyage de DevOps à GitOps, puis à l'Ingénierie de Plateforme (Platform Engineering), détaillant chaque étape avec des définitions précises, des études de cas et des exemples concrets. Nous analyserons comment ces pratiques, en se connectant, améliorent le développement logiciel.

L'accent sera mis sur l'Ingénierie de Plateforme, qui étend les capacités de DevOps et GitOps. Elle offre une solution intégrée répondant aux divers besoins des parties prenantes, respectant les politiques d'entreprise et les contraintes de gouvernance. Nous explorerons les aspects techniques de l'implémentation d'une plateforme unifiée, son impact sur la collaboration et l'importance de l'automatisation dans ce processus.

Elasticsearch et Kibana apportent un tout nouveau langage, ES|QL, avec une nouvelle API (_query) et une syntaxe simplifiée. Cela vous permet d'affiner vos résultats, étape par étape et ajouter de nouvelles fonctionnalités comme par exemple l'enrichissement de données et la transformation à la volée, directement dans votre requête. Et vous pouvez l'utiliser sur toute la plateforme Elastic — depuis les API Elasticsearch jusqu'aux fonctions de "Discover" et d'"Alerting" de Kibana. Mais le changement principal n'est pas celui que vous verrez : les ingénieurs ont développé un tout nouveau moteur de calcul, construit avec la performance comme guide. Venez découvrir un aperçu de ce nouveau moteur avec découverte de la syntaxe et du fonctionnement interne.

Dans un monde où l'intégration de l'intelligence artificielle devient la norme, rejoignez-nous pour une exploration fascinante du potentiel de l'IA dans les API Gateways, pierre angulaire des applications modernes. Très orientée démo, cette présentation se concentrera sur des cas d'utilisation variés où l'IA transforme radicalement la productivité des développeurs, la sécurité et les interactions avec les utilisateurs finaux dans le contexte de son utilisation dans une API Gateway.

Nous verrons en détails comment l'IA peut vous éviter de leaker des informations sensibles, vous aider à boostraper votre nouvelle idée géniale très simplement ou encore vous permettre de détecter des anomalies dans vos appels d'API, tout ça via une configuration en langage naturel . Nous verrons également comment adresser les défis de la souveraineté de vos données et des changements de providers.

Cette présentation mettra en lumière l'importance croissante de l'IA dans le développement d'applications moderne. Que vous soyez un développeur, un architecte, ou simplement passionné par les dernières innovations technologiques, cette session vous fournira des insights précieux sur les avantages pratiques de l'IA dans le domaine des API Gateway.

Les feature flags révolutionnent la gestion des fonctionnalités logicielles en permettant une activation ou une désactivation dynamique. Promu par la CNCF, OpenFeature s’impose comme la nouvelle norme du feature flags. Découvrons ensemble l'intégration de cette solution sur un projet front et back office. Avec l’aide des différents providers et de la nouvelle norme OFREP (OpenFeature Remote Evaluation Protocol ), nous verrons en quoi OpenFeature se veut no vendor lock-in !

Rejoignez-moi pour une masterclass en live-coding. Que vous soyez débutant ou expert, nous verrons les dernières techniques légales pour collecter les données et alimenter vos modèles d’IA.

🔍 Temps forts 🔍

Déjouer les protections anti-bots 🔒

• Contournez les fingerprints et les systèmes anti-bots
• Rétro-ingéniérez les protections pour comprendre les mécanismes de tracking

Maîtriser les proxies et les fermes de browsers 🌐

• Découvrez Scrapoxy, l’agrégateur de proxies gratuit et open-source dédié au Web Scraping
• Devenez un expert de l’automatisation avec Playwright

Ce live-coding vous plongera dans l’univers secret de la donnée.

Ne manquez pas cette opportunité unique de maîtriser ces compétences et de révolutionner votre approche de la data !

#data #webscraping #livecoding