Antonio et Guillaume discutent de nouvelle crèmerie, des fêtes de fin d’années, des cadeaux du père Noël, et… de log4j, le feuilleton de fin d’année ! Enregistré le 20 décembre 2021 Téléchargement de l’épisode LesCastCodeurs-Episode–269.mp3 News Décès de Stéphane Maldini (14 Dec 2021) Une triste nouvelle pour commencer l’épisode avec l’annonce du décès soudain de Stéphane Maldini Un acteur de l’écosystème Grails à la fin des années 2000, gràce à de nombreux plugins Mais plus connu pour avoir co-fondé le project Reactor, et popularisé le Reactive Programming au sein de la communauté Java Egalement à l’origine de R2DBC pour rendre l’accès aux bases de données plus réactif Après de nombreuses années chez Pivotal, il avait rejoint plus récemment Netflix, et c’est peut-être en partie grâce à lui que vous pouviez matter plein de séries ! CloudBees clot un tour de table de 150 millions de dollars valorisant l’entreprise à 1 milliards de dollars Le feuilleton Log4J2 (9 Dec 2021) Grosse faille de sécurité liée à l’utilisation des versions <2.15 de Log4J2 Découverte par un chercheur en sécurité d’Alibaba Cloud Détails publiés par LunaSec Log4J2 permet de faire de l’interpollation de texte en remplaçant des parties variables d’un message à logguer Hors il est possible d’ajouter des appels à des informations JNDI provenant d’un serveur LDAP Un serveur LDAP peut retourner une classe compilée que JNDI va executer en local lorsque Log4J2 va vouloir insérer l’information JNDI Donc potentiellement, la classe distante executée localement pourra exfiltrer des données, avoir accès aux processus qui tournent, etc. Log4J2 a été patché rapidement, mais d’autres failles sont apparues Différentes stratégies de mitigations ont été publiées Snyk a publié une “cheat sheet” pour remédier à la faille Langages Kotlin à l’assaut du K2 avec son nouveau compilo (11 Nov 2021) Lors de sa conférence Kotlin 2021 Premier annoncent des nouveautés autour du langage Le nouveau compilateur plus rapide K2 qui sert dorénavant de base pour toutes les plateformes cibles supportées qui apporte une nouvelle API pour créer des extensions au compilateur utilise un langage intermediaire (IR) au lieu de compiler directement en natif avec un nouveau frontal avec sa propre représentation intermédiaire qui permet de simplifier la compréhension du langage dans les IDEs, pour désugariser le sucre syntaxique rapidité accrue potentiellement jusqu’à 2 fois Le support de WebAssembly avec Kotlin/WASM Kotlin/JS continue d’exister, pour des applis Web, pour l’intégration JavaScript mais Kotlin/WASM apporte le support natif de WebAssmbly Kover, un nouveau plugin de couverture de code pour Kotlin/JVM, utilisable avec un plugin Gradle, compatible avec JaCoCo Le Kotlin Symbol Processor, KSP, drivé par Google, est maintenant stable, plus rapide, plus ergonomique d’utilisation (remplace Kapt) Groovy 4, on y est presque ! Sortie de la release candidate de Groovy 4, la finale est proche ! Changement des coordonnées Maven pour passer à org.apache.groovy (bye bye Codehaus) Suppression de vieilles coordonnées de packages ou classes mal-situées, à cause des modules Java (XmlSlurper, XmlParser, AntBuilder, GroovyTestCase) Le module groovy-yaml est rajouté au pom groovy-all et le module groovy-testng devient optionel Le vieux parseur basé sur Antlr2 est supprimé, et le parseur (“parrot”) introduit dans Groovy 3 reste le seul parseur Le bytecode généré n’utilise plus que l’instruction invokeDynamic partout où c’est possible Support des expressions switch Support des sealed types Incubation du support des records Inclusion de type-checkers, par exemple avec le premier pour valider les expressions régulières à la compilation Inclusion de macro pour faciliter le débuggage Intégration de JavaShell dans la console Groovy pour facilier les expérimentations cross language Nouvelle annotation @POJO pour créer des POJO Java, sans la surchage de bytecode spécifique à Groovy (pratique pour la compi