Newsletter du 20 Avril 2026
Il y a quelques jours, j'ai publié la newsletter sur le web de RudeOps comme je le fais chaque semaine. La routine classique : une automatisation à base d'IA qui prend le contenu, génère le markdown, insère les liens, met tout en forme, propre, rapide, efficace.
Sauf que j'ai pas relu.
Et l'IA, dans sa grande générosité, a décidé de remplacer certains liens par d'autres. Des liens qui ont l'air bien, qui sont syntaxiquement corrects, qui pointent vers des choses qui existent ou pas... Le genre de travail bâclé qu'on qualifierait d'inacceptable si c'était un stagiaire, mais qu'on excuse volontiers quand c'est un modèle à 200 milliards de paramètres.
Un grand merci à Aurélien de chez Plumber qui me l'a signalé, parce que sans lui, les liens seraient encore là à pointer vers n'importe quoi.
Le comble de l'histoire, c'est que dans cette même newsletter je prêche le contrôle, la rigueur, le human in the loop. J'ai écrit tout ça, relu tout ça, envoyé tout ça avant de confier la publication à un pipeline que je n'ai pas vérifié.
La morale ? C'est pas l'IA qui m'a eu. C'est moi qui me suis eu.
Parce qu'un outil sans relecture, c'est pas de l'automatisation, c'est juste de la confiance mal placée avec un joli wrapper Python autour. Et la leçon, elle tient en une ligne qu'on connaît tous et qu'on oublie tous : ce qu'on ne vérifie pas, on ne le contrôle pas.
Cyril
La pépite de la semaine
Forgejo passe en version 15.0, et si vous ne connaissez pas encore, c'est l'alternative open source à GitHub née en 2022 d'un fork de Gitea, par des gens qui avaient décidé qu'une forge logicielle ne devrait pas appartenir à une entreprise privée. Ça tourne sur tout et n'importe quoi, ça gère les issues, les PR, les wikis, les kanban boards, le CI, les registres de paquets, et ça s'auto-héberge sans vous demander de signer un contrat en 47 pages. Cette version apporte notamment les tokens d'accès spécifiques aux repos, des runners éphémères, le support des reusable workflows imbriqués, et Monaco remplacé par CodeMirror dans l'éditeur, ce qui va relancer des débats passionnants dans exactement zéro salle de réunion. Côté sécurité, plusieurs endpoints API qui laissaient fuiter des données de repos privés via des tokens public-only ont été corrigés, ce qui est le genre de phrase qu'on préfère lire dans des release notes que dans un post-mortem.
Le coeur de la veille
NIST updates NVD operations to address record CVE growth Le NIST a regardé son backlog de CVEs grossir comme les todos d'un ticket "quick fix" et a pris une décision historique : ne plus tout traiter. Les soumissions de CVEs ont augmenté de 263% entre 2020 et 2025, et le premier trimestre 2026 arrive déjà 30% au-dessus de l'année dernière, ce qui signifie que la base de données nationale de vulnérabilités américaine croule sous les tickets comme un stagiaire à qui on a dit "t'inquiète, c'est calme en ce moment". La réponse du NIST est donc à la hauteur : désormais, seules les CVEs qui apparaissent dans le catalogue KEV de la CISA, celles qui touchent des logiciels utilisés par le gouvernement fédéral, ou celles qui concernent des logiciels critiques seront traitées en priorité. Les autres tomberont dans une catégorie sobrement baptisée "Not Scheduled", ce qui est une façon très institutionnelle de dire que votre faille attendra que quelqu'un ait le temps, c'est-à-dire probablement jamais. Pour les optimistes, il est possible d'envoyer un email pour demander un traitement prioritaire, une boîte mail qui va sans aucun doute devenir l'endroit le plus serein de l'internet en 2026.
Git-like version control CLI backed by PostgreSQL Quelqu'un a regardé Git un matin et s'est dit : "Et si on mettait PostgreSQL là-dedans ?" Pas pour résoudre un vrai problème, mais parce que certains développeurs ont une relation avec PG qui dépasse largement le cadre professionnel et frôle le trouble de la personnalité. pgit, c'est donc un système de contrôle de version Git-compatible sauvegardé dans PostgreSQL, avec compression delta maison, parce que visiblement stocker des blobs dans une base relationnelle à schéma rigide c'est exactement ce que git faisait mal depuis 1785. L'argument massue : vous pouvez faire du SQL sur tout votre historique de commits, savoir quels fichiers sont toujours modifiés ensemble, qui est le seul à comprendre ce module que tout le monde contourne en rasant les murs, ou quel répertoire concentre 80% des commits de panique du vendredi soir.
Gcil C'est un chouette outil qui vous permet de lancer vos jobs GitLab CI en local, parce qu'attendre que le pipeline distant confirme que votre script bash est cassé, c'est un style de vie qu'on ne peut plus se permettre. Vous collez votre .gitlab-ci.yml, vous tapez gcil, et vos jobs tournent dans leurs images Docker respectives exactement comme en vrai, sauf que cette fois c'est votre machine qui souffre et non le runner partagé que tout le monde maltraite honteusement. Ça supporte Docker, Podman, le mode debug pour les optimistes, le mode bash pour les réalistes, et il y a tellement de flags disponibles que la page de documentation ressemble elle-même à un fichier de config qu'on ne lira jamais en entier.
K3s, a better way to deploy a docker app K3s, c'est la version de Kubernetes pour ceux qui veulent faire du Kubernetes sans avoir besoin d'une équipe de dix personnes et d'un budget infrastructure à six chiffres pour le faire tourner. Un seul binaire, un installer qui ne pleure pas et vous avez un cluster qui embarque déjà Traefik, Flannel et une registry, ce qui représente en volume de YAML évité une économie thérapeutique non négligeable. Ce chouette article des cowboys de chez Atomicobject vous guide à travers une stack complète sur un seul serveur Linux : K3s pour orchestrer, Zot comme registry privée parce qu'il faut bien stocker ses images quelque part, CloudNativePG pour avoir un Postgres géré sans se transformer en DBA, et Helm pour coller tout ça ensemble sans écrire du YAML à la main comme un animal. Le résultat tient sur 2 à 4 Go de RAM, ce qui est soit impressionnant soit légèrement terrifiant selon l'endroit où vous êtes dans votre relation avec Kubernetes.
En bref
FSF clarifies its stance on AGPLv3 OnlyOffice se retrouve dans une situation inconfortable que les amateurs de drama open source apprécieront à sa juste valeur : le CEO a lui-même demandé à la FSF de trancher sur la compatibilité de sa licence avec l'AGPLv3, visiblement convaincu que ça allait bien se passer (ça ne s'est pas bien passé). La FSF a conclu qu'OnlyOffice a ajouté des restrictions incompatibles avec l'AGPLv3, et que n'importe qui ayant reçu le code peut les supprimer, ce qui est une façon très juridique de dire que le fork Euro-Office fait exactement ce qu'il veut. En bonus, un mainteneur de paquets a remarqué en passant qu'OnlyOffice embarque un binaire CEF propriétaire modifié qu'ils n'ont jamais open-sourcé, téléchargé au moment du build via une URL HTTP non chiffrée sans vérification d'intégrité, ce qui transforme chaque installation en opportunité de supply chain attack offerte à quiconque se trouve sur le chemin. Le ticket ouvert sur ce sujet attend une réponse depuis un an et demi, ce qui dans l'open source signifie soit "on travaille dessus" soit "on espère que tout le monde a oublié".
Cal.com goes private Niveau drama dans le monde merveilleux de l'open source, on est plutôt bien servis ce mois-ci. Cal.com, l'alternative open source à Calendly, vient de fermer son code source principal en invoquant les risques liés à l'IA et sa capacité croissante à trouver des vulnérabilités automatiquement. Le CEO a sorti la métaphore du coffre-fort dont on ne donne plus les plans, ce qui est une façon honnête de dire que cinq ans d'open source c'était bien, mais que là ça commence à faire peur. En compensation, la société publie Cal.diy, une version allégée sous licence MIT avec les fonctionnalités enterprise retirées, ce qui est généreusement appelé "donner quelque chose à la communauté" et moins généreusement appelé "garder la partie qui rapporte de l'argent pour soi". Le CEO reconnaît d'ailleurs que d'autres boîtes open source sont en train de faire exactement le même calcul en ce moment, ce qui laisse présager une année 2026 riche en annonces habillées en décisions de sécurité.
Sous les pavés l'IA
Tmux config with built-in terminal smux, c'est l'outil pour ceux qui trouvent que tmux manquait d'une couche d'abstraction et que leurs agents IA méritaient eux aussi d'avoir accès au terminal. Le principe est simple : une commande installe tmux avec une config sensée, des raccourcis à base d'Option sans prefix à mémoriser, et surtout tmux-bridge, un CLI qui permet à n'importe quel agent de lire, écrire et envoyer des touches dans n'importe quel panneau. Claude Code peut donc demander à Codex de relire un fichier dans le panneau d'à côté, Codex répond, et vous regardez vos agents se parler dans votre terminal comme si c'était tout à fait normal. C'est soit la chose la plus utile que j'ai vue cette semaine, soit le début de quelque chose qu'on regrettera, mais dans les deux cas c'est impressionnant à regarder tourner.
A Github agentic workflow Les GitHub Agentic Workflows, c'est le truc que GitHub a sorti discrètement et que les cowboys de chez ITnext ont décidé de tester sur un vrai problème : automatiser la lecture de release notes non structurées pour alimenter un outil d'analyse de compatibilité, un travail que son collègue faisait à la main en lisant des docs et en souffrant en silence. Le principe est simple, vous écrivez votre workflow en Markdown, vous le compilez en YAML avec gh aw compile, vous oubliez de le faire une fois, vous poussez le Markdown tout seul, vous passez deux heures à déboguer, et ensuite vous ne recommencez plus. L'agent tourne avec un token Copilot, lit les release notes, en extrait ce qu'aucune regex ne pourrait capturer proprement, et ouvre une PR avec le résultat. Le système prompt embarqué est un chef d'œuvre de paranoïa préventive qui interdit à l'agent de s'évader du container, de scanner des ports ou de suivre des instructions cachées dans des fichiers, ce qui suggère que quelqu'un chez GitHub a passé du temps à réfléchir à des scénarios qu'on préfère ne pas imaginer un lundi matin.