Buxy rêve tout haut

On m’a récemment demandé s’il existait un outil Debian pour vérifier qu’un ensemble de paquets dérivés de Debian intègrent bien les dernières mises à jour de sécurité. L’idée est d’avoir un fichier listant l’ensemble des paquets personnalisés avec les versions qui ont servi de base aux paquets personnalisés et d’avoir un outil qui va vérifier automatiquement security.debian.org pour voir si de nouvelles versions sont disponibles.

Ma première réponse était de regarder famke un petit script python écrit par James Troup pour les besoins de l’équipe DSA de Debian: il prévient par mail lorsque des mises à jour sont possibles et essaient de les rapprocher avec le fil RDF des mises à jour de sécurité.

J’ai donc repris le principe et réalisé un petit script python un peu plus souple dans la mesure où il ne vérifie pas si les paquets installés peuvent être mis à jour mais si les paquets listés dans un fichier (que j’ai appelé watchlist) peuvent être mis à jour à partir d’un ensemble de dépôts APT que l’on consigne dans un fichier sources.list personnel.

Il peut servir d’exemples à ceux qui cherchent à employer l’interface “python-apt”. Le script est disponible dans un dépôt Git.

Installation et usage par l’exemple :

$ git clone git://git.debian.org/~hertzog/hacks/checkupdate.git
$ cd checkupdate
$ vim checkupdate.conf
# On change les répertoires pour pointer vers `pwd`
$ vim watchlist
# On indique les paquets à surveiller et leur version courante
$ ./checkupdate checkupdate.conf
An update of the package 'rsync' is available: 2.6.9-2etch1
Origin: [component: 'main' archive: 'stable' origin: 'Debian'
label: 'Debian-Security' site 'security.debian.org' isTrusted: 'True']

Partagez cet article / Share This

Seriously. Now that we have been using the request tracker for quite some time, it’s even more obvious that the DSA team is not up to its task.

Use login “guest” and password “readonly” if you want to check the RT tickets linked in this article.

The facts

• 65 public tickets open (and 5 private tickets)
  • Want to help and seek input from DSA? No response.
  • Want to help and you provide patches and/or solutions? Many are still waiting.
  • Security updates? Who cares…
  • Backup of ftp-master (ries)? No reply (though ftp-master stuff is mirrored on merkel)…
  • New alpha machine? No movement despite the fact that we still have no DD-accessible porter machine.
• 68 tickets closed. Here are some unscientific and manual stats (I counted one each time that someone was involved for the work or for closing the ticket):
  • 27 for James Troup (elmo)
  • 26 for Phil Hands (fil)
  • 13 for me (buxy)
  • 3 for Martin ‘Joey’ Schulze (those I manually forwarded him)
  • 3 for Ryan Murray (neuro)
  • 3 for Matt Taggart (taggart)
  • 2 for Josip Rodin (he handles tickets concerning the mirrors until they have a dedicated queue in the RT)

Note that myself and Matt do not have the needed rights to fix most of the tickets, so we provided help on a best-effort basis. Otherwise we would have done more.

The communication problem

It’s a multi-level problem. Each of the members has some problems with one or more other members. Joey’s behavior has been part of the recurring problems mentioned: he doesn’t use the RT, doesn’t read the DSA email alias and doesn’t follow the DSA IRC channel but he still does stuff very regularly without reporting anything and obviously problems happen. Ryan and James tried to impose him a rule to document what he does, without success apparently. On the other side, as far as I know, Ryan and James also don’t impose themselves to document everything in a central changelog. Joey has refused to provide me an explanation for his behavior. He just reminded me that he holds grudges against James and Ryan because as ftpmasters they didn’t cooperate well with him while he was stable release manager.

In general, outside of all personal griefs that they might have, the DSA members do not communicate very much (at least not on their own official channels). Some examples have already been given concerning the request tracker, but it’s not much more effective on IRC. Most of the traffic on the channel is made up by local admins fixing the problems themselves without any intervention by any DSA.

I also use the channel to regularly ping some DSA about simple issues and/or stuff that they usually handle. It used to work somewhat but lately fil has been busy (with the kernel summit and other conferences) and I simply got no answer at all… for example I pinged elmo, neuro and fil several times in the last weeks in the hope that they handle the tickets of the security team (#150, #157, #164) without results.

There’s room for improvement.

The leadership problem

The team has no designated leader and every time that there’s a decision to take, they are blocked. Joey wouldn’t communicate and give his opinion, Ryan is extremely requiring and perfectionist, there’s not much room for compromise…

A long time ago in a galaxy far, far away, Joey and elmo were friends. It’s even Joey who gave root rights to elmo. Nowadays, it’s rather James that is sort-of leading the team but he’s fed up of the situation and hasn’t managed to get out of this mess.

He refuses to take drastic measures by himself because he’s not clearly the leader and doesn’t solicit a decision of the Debian leader (or the project) because he believes that the DSA team is not under the scope of the constitution!

This can’t last any further. We’ll have to do something about it. Stay tuned.

Partagez cet article / Share This

En tant qu’entrepreneur qui a monté une SARL dans le but d’allier travail et passion du logiciel libre, le sujet du financement du logiciel libre m’intéresse au plus haut point. Je sais aussi, par expérience, que ce sujet peut déclencher des réactions extrêmement vives lorsque des questions d’argent s’immiscent dans des communautés bénévoles. Cela ne doit cependant pas nous empêcher de continuer à mener une réflexion pour trouver de nouveaux moyens de financer le logiciel libre.

Cet article s’attache donc à faire un tour d’horizon de l’existant et à identifier les limites des modèles existants. Enfin, pour finir, je vous ferai partager mes réflexions personnelles sur les critères à respecter pour définir une nouveau modèle économique viable.

Les services aux professionnels

C’est sûrement la solution la plus simple et c’est une solution qui marche pour moi à l’heure actuelle. Je vends mes compétences informatiques aux entreprises qui en ont besoin sous forme de formations, conseils et développements spécifiques. La marge que je dégage me permet de consacrer un à deux jours par semaine au logiciel libre (bien sûr cela veut aussi dire que je pourrais gagner plus si j’arrêtais de contribuer à Debian et que je travaillais plus).

Cela marche, mais cela ne me satisfait pas vraiment. J’essaie d’orienter Freexian comme un spécialiste de Debian, mais ce positionnement ne m’a encore jamais permis de faire financer un développement utile à Debian par un client. Par contre, pour des développements sur un Linux embarqué ou des conseils sur Asterisk, là on trouve plus facilement des clients.

Bien sûr, c’est mieux que de devoir travailler avec Windows, mais il n’y a pas de raison qu’on ne puisse pas trouver une solution où les revenus proviendraient plus ou moins directement d’un travail effectué concernant Debian.

La publicité

C’est le mode de financement de tellement de sites web, qu’on se dit qu’il pourrait aussi contribuer à financer le logiciel libre. C’est sûrement vrai dans quelques cas, mais il me semble que cela restera anecdotique comme mode de financement : d’une part, comme Tuxicoman le faisait remarquer, il y a le problème éthique que cela pose, et d’autre part, il faut avoir une audience très importante pour que la publicité rapporte suffisamment (ce qui n’est pas donné à tout le monde).

Les services en ligne

Héberger un service en ligne représente un coût, et si le service est utile, alors il y a des gens qui seront prêts à payer pour en bénéficier. Tuxicoman voit le logiciel libre comme un produit d’appel pour attirer les gens vers votre offre en ligne. Cela peut être un très bon modèle, mais à mon avis il se limite aux logiciels qui sont en rapport direct avec un service en ligne : il est logique de proposer de l’hébergement de blog si on développe Wordpress, mais si vous êtes développeur de dpkg, je ne vois pas quel service en ligne pourra contribuer à financer votre travail.

Compter sur les fans

C’est un peu le principe du “club Mandriva”. Il faut proposer quelques services et compter sur la loyauté des utilisateurs. Mais on retombe sur la problématique de l’audience, si les services ne sont pas intéressants pour ce qu’ils sont, alors l’équilibre est précaire et repose uniquement sur une population limitée.

Autrement dit, cela peut marcher avec des grosses communautés et pas mal de marketing, mais cela restreint le modèle aux seules boîtes qui ont les moyens d’avoir un service marketing conséquent. Bref, ce n’est pas pour tout le monde.

En outre, du point de vue d’un fan qui souscrit plus pour soutenir le projet que pour les services offerts, il ne sait pas exactement ce qu’il finance. Ou plutôt, il sait qu’il finance tout alors même qu’il préférerait peut-être financer plus spécifiquement le développement libre de telle ou telle fonctionnalité.

---

On le voit, la plupart de ces modèles ne sont pas adaptés pour des individus et des petites structures. Comme je me place plutôt dans cette catégorie, je réfléchis à un nouveau modèle plus adapté — essayant d’allier éthique et rentabilité économique. En menant cette réflexion je suis arrivé à une liste de critères à respecter.

Les critères de succès

Un peu dans le désordre, voici différents points qui, si l’on peut les conjuguer dans une solution concrète (que j’appellerai ci-dessous “le service”), en feraient une solution viable :

• Le service doit concerner tous les utilisateurs de logiciels libres, et pas seulement les “fans”. L’équilibre d’une économie autour du logiciel libre passe par un facteur d’échelle, il doit y avoir plus d’utilisateurs que de développeurs.
• Le service doit être de proximité afin que le client puisse s’identifier à la personne qui le fournit. Je ne parle bien entendu pas de proximité physique, mais de proximité virtuelle. Il faut juste que le client puisse avoir un contact direct avec le développeur et qu’il sache de manière concrète ce à quoi servent les bénéfices réalisés autour du service.
• Le service doit être très lié avec les compétences et les centres d’intérêts du développeur de logiciel libre, afin qu’il prenne plaisir à le fournir.
• En même temps, le service ne doit pas avoir une influence directe sur le projet libre auquel le développeur contribue habituellement.
• Bien entendu, le service doit être utile sur le long terme, car un revenu ponctuel ne permet pas de financer durablement un développeur (sauf don de centaines de milliers d’euros, mais on sort du cadre là :-D).

Pfiou, rien que çà ! Visiblement ce n’est pas facile, mais cela fait quelques temps que j’y réfléchis, et j’ai un projet dans les cartons. Il est trop tôt pour en parler mais je ne manquerai pas d’y revenir en temps voulu.

Partagez cet article / Share This

Toute distribution Linux est personnalisée pour y intégrer des éléments visuels distinctifs. Cela inclut les écrans de démarrage, l’aspect de l’installateur, l’écran de connexion (thème gdm), les fonds d’écrans, les thèmes Gtk+ et j’en oublie sûrement. Tous les artistes qui souhaitent contribuer à Debian dans ces domaines sont les bienvenus sur http://www.debianart.org/, ils peuvent soumettre librement leurs œuvres et les mettre à disposition de tout le monde.

En plus des éléments intégrés à la distribution, il y a l’apparence du site web. Il est de renommée mondiale que son look “années 1990″ laisse à désirer et qu’il est possible de faire plus joli sans pour autant sacrifier les aspects positifs (traduction, accessibilité, usage de tout l’espace, etc.). Certains s’y attellent : la page LayoutProposal du wiki regroupe quelques propositions. Les dernières, comme celle-ci, sont d’ailleurs assez prometteuses. Pourtant ce n’est pas la première fois que je vois des maquettes qui ne passent jamais à l’étape de “production”. Des volontaires motivés pour mener à terme ce projet sont donc toujours les bienvenus sur la liste debian-www. Le site web contient les explications nécessaires pour comprendre son fonctionnement actuel.

Dernier élément relevant du “visuel”, il y a les jaquettes de CD/DVD (exemple de contribution). Là aussi, n’hésitez pas à laisser parler vos talents d’artiste!

Cet article fait partie d’une série expliquant - par des exemples - comment contribuer à Debian.

Partagez cet article / Share This

A few days ago I created a planet for French Debian users, and the interest is slowly growing. In fact, I just received a request to add an English-speaking blog!

So the question is: why not creating (and hosting) an English-speaking planet for Debian users that would allow only Debian-related articles. Developers are also users and if they have a feed dedicated to their Debian posts, they could add it of course. It would be handled like the current planet and a few volunteers could collect and process the requests to add new feeds for non-developers.

This would provide the much-requested alternative of filtering planet Debian… and also encourage some of our users to blog about Debian and how they use it.

What do you think of this idea?

Partagez cet article / Share This

Depuis quelques jours mon blog est syndiqué sur Planète Libre une planète qui regroupe divers blogs francophones traitant du logiciel libre. J’apprécie cette planète car cela permet de s’ouvrir un peu plus au reste du milieu du logiciel libre alors que j’ai tendance à toujours être plongé à 100% dans Debian.

Vous ne comprenez pas le titre de l’article ? Pourtant, c’est assez simple : planète libre n’est pas encore libre. Son créateur, Sébastien Bilbeau, n’en publie pas encore les sources qui permettraient à d’autres d’utiliser le même logiciel pour créer d’autres planètes. Comme j’ai vraiment apprécié le look de la planète et sa fonctionnalité de votes, je me suis mis à chercher les sources avec l’idée éventuelle de l’employer pour les planètes Debian francophones — en vain. J’ai alors contacté Sébastien pour me faire confirmer qu’elles n’étaient pas disponibles.

Suite à cette déception, j’ai hésité à faire dans la presse à scandale (”Planète libre, la planète qui n’a de libre que le nom !”) mais je me suis dit que cela serait contre-productif et dommageable pour tout le monde.

Du coup, je préfère féliciter Sébastien pour ce qu’il a créé, et l’encourager à libérer le code source de planète libre ! Je vous invite à en faire de même en votant nombreux pour cet article afin qu’il pénètre dans les tops du site (l’article le plus populaire est à 35 votes à l’heure actuelle) et que Sébastien n’oublie pas notre souhait.

Partagez cet article / Share This

Dans les commentaires de mon dernier article sur les planètes Debian, je m’interrogeais sur ce que les gens attendent d’une planète comme planet-fr.debian.net. N’hésitez pas à me faire part de vos points de vues sur le sujet !

Je mentionne cela parce que cet article est la conséquence directe d’une réponse que j’ai obtenue me disant en substance qu’il n’y a pas grand chose de mieux pour suivre l’actualité de l’intérieur sans passer des heures à lire des listes de diffusion. Il y a un peu de vrai dans cette remarque et j’en profite donc pour faire le tour des différentes options disponibles pour suivre les “actualités Debian”. Je mentionne en premier ce qui concerne les utilisateurs et plus on progresse dans l’article, plus cela concerne les contributeurs ou utilisateurs avancés/passionnés.

Listes de diffusion tout public

Les listes de diffusion restent le premier moyen de communication employé par Debian. Pour les francophones, la lecture de debian-news-french est un passage obligé. La liste est modérée et ne reçoit que quelques messages par mois dont la traduction des Debian Weekly News (qui ne sont plus vraiment hebdomadaires par manque de contributeurs motivés!).

Ceux qui comprennent l’anglais peuvent également profiter de debian-announce et debian-news. La première ne contient que quelques messages par an (en général les annonces de nouvelle versions) alors que la seconde a vocation à recevoir plus d’actualités (ex: Debian Weekly News, participation aux Google Summer of Code, étape importante dans le développement d’une nouvelle version, nouveau produit basé sur Debian, etc.).

Enfin, la liste debian-security-announce permet d’être notifié à chaque mise à jour de sécurité afin de prendre les mesures nécessaires aussi rapidement que possible. Il existe aussi un flux RDF que vous pouvez suivre avec votre lecteur de flux habituel.

Sites web et flux pour tout le monde

Du côté francophone, il n’y a rien d’officiel. Les planètes des contributeurs et des contributeurs+utilisateurs sont sûrement la meilleure source à long terme. Il existe quelques sites animés par des utilisateurs passionnés mais ils tendent à être obsolètes puis remplacés par leurs blogs respectifs … qui peuvent ensuite être syndiqués sur une planète.

Du côté anglophone, c’est un peu mieux: times.debian.net est un site animé par des contributeurs Debian qui se coordonnent sur la liste debian-publicity. On peut s’y abonner par un flux RSS: articles de presse, nouvelles de debian-installer, présentation de paquets Debian (provenant de debaday) sont au menu !

Listes de diffusion pour les utilisateurs de unstable et les curieux

Ceux qui aiment bien être sur le front des nouveautés côtoient forcément les développements en cours dans unstable et sont donc bien avisés de suivre debian-devel-announce. Cette liste est employée pour communiquer les changements importants à tous les développeurs Debian. Cette liste est pseudo-modérée puisque seuls les développeurs Debian peuvent y poster des messages (signés avec leur clé GPG). La lecture de cette liste est obligatoire pour les développeurs Debian et ceux qui souhaitent le devenir. C’est aussi par cette liste que les développeurs sont conviés à voter (pour des élections ou des “résolutions générales”).

Les plus aventureux peuvent s’abonner à debian-devel-changes et être informés en temps réel des paquets mis à jours. Attention, cela représente entre 30 et 200 mails par jour (autour de 80 en moyenne) !

Site(s) web pour les curieux qui ont du temps

Planet.debian.org est le seul site qui me vient à l’esprit. Il regroupe les blogs de nombreux contributeurs au projet… du coup ca parle beaucoup de Debian, mais pas uniquement. En effet l’objectif premier de la planète est d’offrir un autre regard sur les contributeurs que l’on côtoie déjà sur les listes et de découvrir ce qu’ils font par ailleurs. Le principal désavantage c’est qu’il y a du volume: plusieurs dizaines d’articles par jour et il faut trier pour trouver ce qui vous intéresse.

Listes de diffusion pour les contributeurs

Je ne vais pas les lister toutes, il y en a de trop, chacune est spécialisée sur un domaine de contribution particulier. Mais il y a quelques listes généralistes: debian-devel regroupe des discussions techniques concernant le développement de Debian alors que debian-project est plus orienté sur les problèmes organisationnels ou philosophiques. Enfin, debian-vote est utilisée pour discuter les résolutions générales que certains développeurs veulent amener au vote.

Les francophones peuvent aussi utiliser debian-devel-french pour discuter de tous ces sujets en français.

Canaux IRC pour les contributeurs

Les contributeurs francophones sont regroupés sur #debian-devel-fr sur irc.debian.org. Évidemment #debian-devel est le canal (anglophone) de référence. Attention, les utilisateurs sont les bienvenus pour observer mais ce ne sont pas des canaux de support technique !

Les discussions sont diverses et variées: coordination et entre-aide entre contributeurs, problèmes techniques, accrochages entre contributeurs, revue de presse sur Debian, commentaires sur l’actualité, etc.

Signalons aussi qu’il est de bonne manière de remplir son “Realname” (Nom réel) lorsqu’on se connecte sur IRC. Le milieu du logiciel libre n’aime pas trop les anonymes.

Partagez cet article / Share This

Since the policy of the Debian planet is to not restrict content to Debian-related stuff, I switched the URL of my feed in PlanetDebian to include any English content that I might blog about. Don’t be afraid, I’m not going to overwhelm you with random crap. I’m currently trying to blog more in French instead.

Since I maintain the French Debian planet, I decided to apply the same policy for the French version (and announced it here). At the same time I also created a planet for the French-speaking Debian users who happen to blog… it’s hosted on the same server at http://planet-fr.debian.net/users/ and its policy is a bit more strict as it only allows free-software related content.

For all those reasons, I recategorized my articles so that I can now provide an english-only feed and a french-only feed. The first one is used on planet.debian.org and the second one on planet-fr.debian.net.

Continuing on this blogging frenzy, I upgraded Wordpress to the latest version, I installed the subscribe-to-comments plugin and translated it to French. Thus it’s now possible to have a sane discussion in the comments of my blog articles!

Partagez cet article / Share This

Apparemment RedHat a décroché un gros contrat avec le ministère de l’éducation nationale et cette distribution équiperait près de 2500 serveurs en France.

D’un autre côté, aux dernières nouvelles, les ministères de l’Intérieur et de la Défense employaient plutôt Debian (avec notamment le déploiement en masse par la gendarmerie de OpenOffice d’abord sous Windows puis sous Debian).

En googlant, j’ai quand même réussi à trouver que Mandriva équiperait les serveurs du ministère de l’Agriculture. En tout cas, force est de constater que Mandriva n’arrive pas vraiment à s’imposer sur les serveurs (même en France!) et que sa reconversion vers un business de services n’est pas réellement convaincante. Il n’est pas rare que les solutions déployées par leur branche “offre professionnelle” soient basées sur du Debian (et pour une société de service — même affiliée à un éditeur — il n’y a pas de mal à cela, c’est tout à fait légitime d’employer la solution la plus adaptée au cas de chaque client).

Pourtant, il est amusant de faire le parallèle entre Mandriva et Ubuntu, les deux ont connu un engouement très important à leur lancement parce que leur politique est (ou a été) de simplifier l’accès à Linux au grand public. Les deux ont monté plus tard des offres “serveurs”. Au final, Mandriva vivote et Ubuntu prospère.

Bien sûr, on ne sait rien de la santé financière de Canonical (la société derrière Ubuntu) et bien sûr Mark Shuttleworth a injecté 10 millions de dollars pour permettre à Ubuntu d’exister. Mais d’un autre côté, Mandriva a eu des millions d’euros également entre les levées de fond à l’époque des start-ups puis de son introduction en bourse. Mais là où Canonical a commencé avec peu de développeurs (20 à 30 à tout casser), Mandriva a rapidement consommé l’argent levé.

En fin de compte, je reste persuadé que Mandriva aurait pu connaître un autre sort si elle s’était basée sur Debian. Pas besoin d’inventer “cooker”, Debian sid était déjà là. Et au moins, elle aurait eu de réels arguments pour se différencier de RedHat ou SuSe sur le marché des serveurs… d’ailleurs, Gaël Duval — co-fondateur de Mandriva — travaille désormais sur Ulteo, un projet basé sur … Kubuntu !

Partagez cet article / Share This

Virtualbox 1.5 “Open Source Edition” vient d’arriver dans Debian sid/unstable. Cela ravira les fans de VMware puisqu’on y retrouve la plupart des caractéristiques intéressantes de ce dernier: une interface graphique assez claire qui évite de se plonger dans une longue page de manuel (ceux qui ont mis en place des réseaux de machines virtuelles Qemu comme moi pourront vous en parler ;-)) et des fonctionnalités de type “snapshot”. Quelques fonctionnalités avancées ne font pas partie de la version libre, c’est le cas notamment du support USB et du serveur RDP intégré.

Notons au passage que le paquet de la version 1.4 était apparu il y a quelques jours sous le nom “virtualbox” mais que ce dernier doit rapidement disparaître (#440792) puisque le nom du paquet sera “virtualbox-ose” … pour éviter le problème de marque déposée par Innotek sur “virtualbox”. (Si seulement la Mozilla Foundation avait pu être aussi souple et proposer un nom standard du type “Firefox Open Source Edition” pour ceux qui ne peuvent se plier à leurs règles de “pas de changements”. Cela nous aurait évité Iceweasel et tout le monde aurait été gagnant. Mais je m’égare là…)

$ sudo aptitude install virtualbox-ose virtualbox-ose-source

Virtualbox requiert un module noyau dont les sources sont fournies dans le paquet virtualbox-ose-source. Heureusement, avec module-assistant toute l’opération de compilation/création de paquet/installation peut être automatisée:

$ sudo module-assistant auto-install virtualbox-ose-source

Si on lance module-assistant sans paramètres, on obtient une petite interface texte qui permet d’exécuter ces différentes étapes de manière interactive (cela évite d’avoir à se souvenir de la syntaxe de la ligne de commande, et permet de naviguer dans la liste des tous les modules optionnels que l’on peut compiler par ce biais).

Enfin, pour lancer des machines virtuelles en tant que simple utilisateur il faut se rajouter dans le groupe vboxusers (sudo adduser rhertzog vboxusers dans mon cas). Et voilà (modulo la déconnexion/reconnexion nécessaire pour faire effectivement partie du groupe), vous pouvez lancer virtualbox (il apparaît dans le menu Applications/Outils système normalement).

Partagez cet article / Share This