Newsletter du 13 Juillet 2026
Je n'ai aucune inspiration pour cet édito, alors plutôt que de vous pondre trois paragraphes sur l'état de l'industrie que personne ne lira jusqu'au bout je vais faire quelque chose d'utile pour une fois : vous filer le cocktail de l'été, celui que ma femme réclame dès que le thermomètre dépasse les 25 degrés et qui a été testé avec plus de rigueur que la plupart des mises en prod que j'ai validées dans ma carrière.
L'Italicus Spritz. Dans un verre à cocktail, quelques glaçons, puis vous versez 9 cl de prosecco, 6 cl de liqueur de bergamote Italicus, et 3 cl d'eau pétillante, dans cet ordre et pas un autre. Oui, l'ordre compte, ne me demandez pas pourquoi, c'est comme les étapes d'un runbook : le jour où vous improvisez, tout explose et personne ne vous plaint. Vous décorez d'une brochette d'olives vertes parce que les Italiens ont décidé que l'olive allait avec la bergamote et qu'on ne discute pas avec un peuple qui a inventé le spritz et la pizza.
Et vous dégustez bien frais.
Cyril
La pépite de la semaine
Un très chouette papier des cowboys de chez The New Stack où deux ingénieurs d'AWS racontent des années de pannes de zone sur EKS. Le vrai ennemi, ce n'est pas la zone qui meurt, c'est la zone grise, celle qui rame, qui drop du trafic, mais qui passe encore les health checks avec un sourire. Et là, vos automatismes bien intentionnés se transforment en escadron suicide : les health checks exécutent des serveurs sains, l'autoscaler relance dans la zone malade, échoue, et part bouder trente minutes. La solution qu'AWS a fini par adopter est tellement contre-intuitive qu'elle mérite le détour, et je vous laisse découvrir pourquoi des années d'incidents les ont menés là.
Le coeur de la veille
Kingfisher Un scanner de secrets écrit en Rust avec 958 règles intégrées et un truc que les autres ne font pas : la validation live. Au lieu de vous noyer sous les faux positifs, Kingfisher appelle directement les API des providers pour vous dire si la clé qui traîne dans votre repo est encore active, et avec l'option access-map, il vous dessine même le blast radius, histoire de savoir si vous avez leaké un token de dev ou les clés de la prod. Il peut aussi révoquer les secrets directement depuis la CLI, ce qui est bien pratique quand on vient de découvrir que le Jean-Kevin a commité le .env dans le repo public. Ça scanne tout, les repos, les images Docker, les buckets S3, et même vos conversations Slack, parce que oui, on sait tous où finissent les mots de passe.
Stories about systems that resist people Sebastian Bergmann, le papa de PHPUnit, s'offre une pause hors du code pour parler des séries qui l'ont marqué : The Wire, The West Wing, The Newsroom, The Pitt et Halt and Catch Fire. Le point commun ? Ce sont toutes des histoires de gens compétents qui se battent contre des institutions conçues pour se protéger elles-mêmes plutôt que pour remplir leur mission. Et il y voit, à raison, un miroir de nos métiers : trente-cinq ans d'open source lui ont appris que les bonnes idées ne meurent pas par manque de valeur, mais parce que des métriques honnêtes dérangent des structures de pouvoir confortables. Un essai personnel qui change des release notes, et qui vous donnera une excuse professionnelle pour relancer The Wire ce week-end, qui reste la meilleure série au monde juste après The Office.
The feedback loop behind Kubernetes Un ops de chez PlanetScale vous propose une expérience bizarre : faire tourner un Postgres de prod à la main, avec du ssh, des IP codées en dur et un script bash de surveillance écrit avec amour. Et puis, correction après correction, panne après panne, vous réalisez avec horreur que vous êtes en train de réinventer Kubernetes pièce par pièce, mais en pire, et en bash. Le kubelet, le scheduler, les CSI, les operators, tout y passe, ramené à ce que c'est vraiment : des boucles de feedback, le même principe que votre thermostat, sauf que le thermostat, lui, n'a jamais perdu vos données. C'est long, c'est dense, et c'est la meilleure explication d'un operator que j'aie lue.
Lightweight S3-compatible object storage Depuis que MinIO a retiré la console d'admin de sa version communautaire avant d'archiver carrément le repo open source en février, il y a un boulevard pour les alternatives, et VaultS3 s'y engouffre avec de bons arguments : un seul binaire, moins de 80 Mo de RAM, un dashboard web intégré, du versioning, du WORM, du chiffrement, de l'erasure coding, et même un mount FUSE. Le projet a en plus l'honnêteté rare d'afficher un tableau de maturité qui vous dit clairement quoi mettre en prod et quoi regarder de loin, le clustering Raft étant encore en beta. Bref si vous cherchiez une raison de quitter le navire MinIO avant qu'on vous facture le droit de regarder vos propres buckets, la voilà.
gwm-cli, a git worktree manager Les worktrees Git, tout le monde sait que ça existe mais personne ne s'en sert parce que c'est pénible à gérer. Gwm veut réparer ça avec un binaire Rust unique qui combine CLI et TUI pour piloter vos worktrees : conventions de branches configurables, bootstrap automatique des nouveaux worktrees, hooks de cycle de vie, et même des garde-fous par regex sur les fichiers copiés, né visiblement d'un incident avec un .env qui contenait un peu trop de prod. Avec l'essor des agents IA qui bossent en parallèle sur plusieurs branches, les worktrees redeviennent soudainement à la mode, et un outil pour les dompter tombe plutôt bien. Il y a même du lazygit intégré dans le TUI, parce qu'à ce stade, pourquoi se priver.
En bref
CI/CD testing tools compared Le même pipeline de tests écrit trois fois, en GitHub Actions, GitLab CI et Jenkinsfile pour comparer les dialectes ligne à ligne. Verdict : tous font la même chose, seul Jenkins exige en plus que vous adoptiez le serveur, les plugins et les insomnies qui vont avec.
I replaced Tailscale's control server with Headscale Tout le monde aime Tailscale, ce truc magique qui traverse les CGNAT comme s'ils n'existaient pas et qui ne demande jamais rien à personne. Mais derrière la magie, il y a un control plane hébergé chez eux, avec vos identités et la coordination de vos machines dedans. Headscale répond à ce problème en vous laissant rapatrier ce cerveau sur votre propre VPS tout en gardant le même client Tailscale sur vos machines : une commande de logout, une commande de login, et c'est réglé. Enfin réglé, c'est vite dit, parce que si le serveur se déploie en trois minutes, l'auteur a passé le reste du temps à comprendre pourquoi Traefik refusait de voir le conteneur, pourquoi Headscale veut un ID numérique et pas un nom d'utilisateur, et pourquoi base_domain ne peut pas être identique au server_url, bref, un chouette retour d'expérience.
Docker explained Pour les trois du fond qui font encore du scp sur leurs serveurs en 2026, voici un énorme guide qui reprend Docker depuis le début : pourquoi ça existe, la différence entre image et conteneur, les layers, les volumes, le réseau, et toutes les bonnes pratiques qui vous éviteront de livrer une image de 3 Go avec vos secrets dedans. C'est long, c'est clair, c'est pédagogique, et après ça vous n'aurez plus aucune excuse. Enfin si, vous en trouverez toujours une, mais elle sera moins crédible.
Dnsglobe Un TUI en Rust qui interroge 34 résolveurs DNS publics à travers le monde en parallèle et affiche la propagation de votre enregistrement sur une carte, directement dans le terminal, avec un mode watch qui re-poll toutes les 30 secondes jusqu'à propagation complète. Parfait pour ces longues minutes d'angoisse après un changement de zone, quand on rafraîchit compulsivement en se demandant si c'est le TTL ou si on a cassé quelque chose.
Sous les pavés l'IA
TUI for monitoring AI coding agent sessions Encore un top-like, oui, je sais j'en présente un par édition mais celui-là je m'en sers pas mal : c'est un dashboard en TUI qui surveille toutes vos sessions Claude Code et Codex, avec le coût par session, la pression sur le contexte, les tokens, et surtout tout ce qui est temps réel, le CPU, les process enfants, et le flux des tool calls qui défile pour voir exactement ce que fabrique votre agent pendant que vous faites semblant de superviser.
Sandboxing an AI agent Votre agent IA en auto-approve, il tourne sur quel ordinateur déjà ? Ah oui, votre laptop, celui avec les clés API et les relevés bancaires. L'auteur explore les deux façons de mettre un agent en sandbox, la boîte comme backend d'outils ou l'agent qui vit entièrement dedans, puis compare les niveaux d'isolation, du container Docker à la microVM Firecracker. Illustré d'incidents bien réels, comme cet agent Replit qui a effacé une base de prod avant de maquiller les logs pour couvrir ses traces. Quelques centimes par run pour éviter ça, mais on sait tous que vous ne le ferez pas.