Logs du chan #afpy pour le

08:36 <discord_afpy> <dancergraham> uv init, uv build, uv publish c'est rapide en fait
13:01 <discord_afpy> <saturn7694> J'ai jamais essayé... mais oui je pensais que c'était plus long surtout le temps de packager comme pipy le veut
13:05 <entwanne> Avec un pyproject.toml aujourd'hui ça se fait plutôt (très) bien
13:07 <discord_afpy> <saturn7694> ouais c'est cool 🙂
13:18 <discord_afpy> <saturn7694> bon par rapport aux package "habituel" il manque plein d'info mais effectivement ça doit pouivoir se rajouter facilement dans pyproject.toml
13:19 <discord_afpy> <saturn7694> Comment c'est géré les classifiers c'est à faire par l'auteur ?
13:20 <entwanne> Oui, mettre tout ce qui peut convenir
13:53 <discord_afpy> <saturn7694> oui ça doit être un peu long ça je pense
19:23 <discord_afpy> <dancergraham> oui j'ai fait ca ici pour un projet un peu plus sérieux (mais toujours en alpha) ... https://github.com/dancergraham/e57-python/blob/main/pyproject.toml
19:29 <discord_afpy> <agnes1825> Je suis Agnès et j'approuve cet humour.
19:30 <discord_afpy> <agnes1825> Tu voudrais pas proposer une conf là-dessus ? Tantpy : mon premier package sur pypi, parce qu'andy s'est fait pyquer par un pytaon
19:31 <discord_afpy> <dancergraham> impossible malheureusement.
19:32 <discord_afpy> <dancergraham> c'est mon deuxieme package 😆
19:32 <discord_afpy> <dancergraham> j'aimerais bien venir au Pycon ,faut que je négotie mes vacances...
19:32 <discord_afpy> <dancergraham> y a du babysitting ?
19:34 <discord_afpy> <saturn7694> super intéressant
19:39 <entwanne> on ne sait pas encore, mais il y en avait l'année dernière
19:39 <discord_afpy> <saturn7694> d'ailleurs il nous a pas dit bonjour. J'espère qu'il y a survécu.
19:52 <discord_afpy> <agnes1825> on est en train d'y travailler, oui ! Avec peut-être un atelier code pour les moyens-grands le samedi aprèm (avec l'association mixteen)
19:52 <discord_afpy> <agnes1825> Mais pour en revenir au sujet, moi j'étais pas au courant que ça allait tellement vite de publier un package… au point qu'on puisse le faire pour la blague
19:53 <discord_afpy> <agnes1825> (et moi je suis 100% pour que les blagues aillent loin)
19:57 <discord_afpy> <dancergraham> oui du coup c'est peut-etre plutot un lightning talk ⚡
20:06 <discord_afpy> <saturn7694> ouais pas trop non plus
20:07 <entwanne> en brodant (au sens propre comme au figuré) ça peut tenir 25 minutes
20:19 <discord_afpy> <Karine B.> Hello
20:19 <discord_afpy> <Karine B.> Est-ce que vous auriez des ressources pour se mettre un peu au fait en cyber sécu avec Python ?
20:19 <discord_afpy> <Karine B.> C’est des skills que j’aimerais développer
20:50 <discord_afpy> <mastergeek.> https://scapy.net/
20:50 <discord_afpy> <mastergeek.>
20:50 <discord_afpy> <mastergeek.> en cybr,perso pas vraiment. Ce dernier c'est le couteau suisse de la programmation reseau en python. du coup un tremplin dans la sec
20:50 <discord_afpy> <mastergeek.> Manipulation des trams, des packets. Les attaques Mac.. bref il y'a de quoi faire 🙂
20:53 <discord_afpy> <mastergeek.> https://scapy.readthedocs.io/en/latest/introduction.html
20:54 <discord_afpy> <mastergeek.> la doc est bien faite @Karine B. . Sniffing, attaque, scanning tout y est 🙂
20:54 <discord_afpy> <mastergeek.> Un petit detour sur des notions de reseau bas niveau sur les protocoles tels que ICMP etc.. tu prendras vite la main
21:01 <discord_afpy> <Karine B.> Oulà tout ça j’y capte que dalle 😅
21:01 <discord_afpy> <Karine B.> Vas y avoir du taff 😬
21:07 <Mindiell> oui, je suggère d'oublier les "outils couteaux-suisses" et de d'abord comprendre le fonctionnement du truc.
21:22 <discord_afpy> <saturn7694> déjà quelle cyber secu le web ? la crypto ? le réseau ? les os ?
21:27 <discord_afpy> <Karine B.> Web, je bosse surtout sur di web et des app (FastAPI)
21:27 <discord_afpy> <Karine B.> Sécurité de la CICD aussi car c est pas encore très pris en compte.
21:28 <discord_afpy> <saturn7694> je dirais de commencer par owasp alors plutôt
21:30 <discord_afpy> <saturn7694> parce que forger des paquets avec scapy c'est plutôt réseau quoi que peut être ça pêut être utile comme outil pour attaquer un serveur. il faut connaitre déjà les attaques possible.
21:32 <discord_afpy> <saturn7694> c'est un peu large comme terme la cyber sécu. à moins que pour vous c'est quelque chose de très précis.
21:34 <discord_afpy> <saturn7694> https://owasp.org/www-project-pygoat/
21:35 <discord_afpy> <saturn7694> tu entends quoi exactement par sécurité de la CI/CD ?
21:36 <discord_afpy> <saturn7694> pour le web https://owasp.org/www-project-top-ten/ . Je sais pas si c'est de la cybersecu mais c'est le minimum vital à connaitre je pense pour du dev web
21:38 <discord_afpy> <saturn7694> ça c'est pour les principales menaces et pour s'en préserver https://cheatsheetseries.owasp.org/index.html
22:17 <discord_afpy> <Karine B.> Quelles images docker pour éviter le pb, comment gérer les auth, comment protéger ses clés et token.
22:17 <discord_afpy> <Karine B.> Les composants, etc…
22:18 <discord_afpy> <saturn7694> quel pb ?
22:18 <discord_afpy> <Karine B.> Merci 🙏
22:19 <discord_afpy> <saturn7694> pour l'authentification tu parles de l'authentification des utilisateurs de la CI ou l'authentification des utilisateur de l'app déployée ?
22:19 <discord_afpy> <Karine B.> Y’a des images qui peuvent avoir des vulnérabilités, je n’ai plus en tête mais il me semble que alpine par ex a des versions avec vulnérabilités.
22:19 <discord_afpy> <saturn7694> pour le deuxième tu as des éléments de réponse dans les cheatsheet
22:19 <discord_afpy> <Karine B.> Users CI
22:20 <discord_afpy> <saturn7694> ça dépend de la CI il faut suivre les recommendation de l'outil.
22:23 <discord_afpy> <saturn7694> Pour les images dockers il faut surveiller les vulnérabilités et faire les upgrades quand c'est nécessaire. C'est pas un sujet facile... Il y a des sites qui les recensent https://www.cisa.gov/known-exploited-vulnerabilities-catalog
22:24 <discord_afpy> <saturn7694> ça peut devenir un travail a temps plein de surveiller ça
22:28 <discord_afpy> <saturn7694> ils ont un bulletin qui parait régulièrement et il y a des outils pour automatiser les alertes en fonction de ta stack.
22:33 <discord_afpy> <saturn7694> Il y a tout un tas d'outil payant et libre, plus ou moins efficace. https://docs.github.com/en/code-security/getting-started/dependabot-quickstart-guide, https://www.tenable.com/products/vulnerability-management, https://www.wiz.io/