Thoughtworks Technology Radar n°26 (PDF de 39 pages)
(thoughtworks.com)Sa particularité est de visualiser et d’expliquer les dernières tendances dans les domaines des techniques, outils, plateformes, langages de développement et frameworks selon quatre niveaux : Hold/Assess/Trial/Adopt
Un marché étrange : l’évolution de l’economics de l’open source
- Nous sommes fans de « The Cathedral and the Bazaar » d’Eric Raymond, mais la situation évolue de façon complexe avec les tentatives de commercialisation
- Des cas comme ElasticSearch vs. OpenSearch ou Docker Desktop
- À l’inverse, Facebook a financé Presto en tant que produit open source, ce qui a permis aux maintainers de conserver la propriété intellectuelle, puis de quitter l’entreprise et de le rebaptiser Trino ; en pratique, cela signifie que l’investissement de Facebook a été bénéfique
- La situation devient encore plus confuse à mesure que de plus en plus d’infrastructures critiques ne sont pas financées par des entreprises
- Comme l’a montré le cas de Log4j, c’est souvent seulement lorsqu’une faille de sécurité majeure survient que l’on réalise à quel point nous dépendons du travail non rémunéré des développeurs open source
- Dans certains cas, financer des mainteneurs amateurs via GitHub Sponsor ou Patreon peut constituer une compensation suffisante pour faire une vraie différence
- Pour d’autres, cela donne surtout l’impression d’ajouter davantage de responsabilités à leur quotidien, jusqu’au burn-out
- Nous soutenons fortement le logiciel, mais son economics devient de plus en plus étrange, et nous savons qu’il n’existe pas de solution simple pour trouver le bon équilibre
Innovation dans la supply chain logicielle
- Des événements comme la fuite de données d’Equifax, l’attaque contre SolarWinds ou la vulnérabilité Log4J ont été provoqués par une gouvernance défaillante de la chaîne d’approvisionnement
- Les équipes ont désormais compris que la vérification et la gestion des dépendances d’un projet doivent faire partie des pratiques d’ingénierie
- Supply chain Levels for Software Artifacts (SLSA)
- CycloneDX : Bill of Materials pour Software / SaaS / Operations
- Syft : outil CLI open source pour générer un Software Bill of Materials
- Les hackers exploitent de plus en plus la nature asymétrique de l’attaque et de la défense dans le domaine de la sécurité
- Il suffit à l’attaquant de trouver une seule vulnérabilité, alors que le défenseur doit protéger toute la surface d’attaque
- Pour sécuriser efficacement les systèmes, il est important d’améliorer la sécurité de la supply chain
Pourquoi les développeurs continuent-ils à créer du state management pour React ?
- Quand un framework se popularise, il est courant qu’une série d’outils apparaisse pour corriger ses défauts, puis que les solutions les plus populaires finissent par s’intégrer entre elles
- Pourtant, le state management de React ne semble pas suivre cette tendance générale
- Depuis la sortie de Redux, des outils et frameworks proposant des manières légèrement différentes de gérer l’état continuent d’apparaître régulièrement
- On ne sait pas vraiment pourquoi, mais on peut faire quelques hypothèses…
- Est-ce une divergence naturelle propre à l’écosystème JavaScript ?
- Est-ce un défaut fondamental de React ?
- Est-ce un problème amusant et facile à manipuler, idéal pour expérimenter ?
- Est-ce dû à une incompatibilité structurelle persistante entre le format de lecture documentaire du navigateur web et l’implémentation d’interactions applicatives sur ce document ?
- Nous ne savons pas pourquoi cela continue, mais nous attendons avec intérêt la prochaine tentative de résoudre ce problème persistant
L’aventure sans fin du catalogue de données maître
- Les efforts pour collecter et classer les données au sein des entreprises se poursuivent depuis longtemps, mais restent difficiles à cause de la complexité, des doublons et des ambiguïtés
- Des outils intelligents comme Collibra ou Datahub ont émergé
- Ils offrent une approche cohérente couvrant la lineage des données et les métadonnées, avec une extension possible vers la gouvernance, l’administration et la publication
- À l’opposé de cette approche centralisée, il existe aussi un mouvement vers une gouvernance fédérée et la découverte fondées sur l’architecture data mesh
[ Techniques ]
Adopt
- Four key metrics
- Single team remote wall
Trial
- Data mesh
- Definition of production readiness
- Documentation quadrants
- Rethinking remote standups
- Server-driven UI
- Software Bill of Materials
- Tactical forking
- Team cognitive load
- Transitional architecture
Assess
- CUPID
- Inclusive design
- Operator pattern for nonclustered resources
- Service mesh without sidecar
- SLSA
- The streaming data warehouse
- TinyML
Hold
- Azure Data Factory for orchestration
- Miscellaneous platform teams
- Production data in test environments
- SPA by default
[ Platforms ]
Trial
- Azure DevOps
- Azure Pipeline templates
- CircleCI
- Couchbase
- eBPF
- GitHub Actions
- GitLab CI/CD
- Google BigQuery ML
- Google Cloud Dataflow
- Reusable workflows in Github Actions
- Sealed Secrets
- VerneMQ
Assess
- actions-runner-controller
- Apache Iceberg
- Blueboat
- Cloudflare Pages
- Colima
- Collibra
- CycloneDX
- Embeddinghub
- Temporal
[ Tools ]
Adopt
- tfsec
Trial
- AKHQ
- cert-manager
- Cloud Carbon Footprint
- Conftest
- kube-score
- Lighthouse
- Metaflow
- Micrometer
- NUKE
- Pactflow
- Podman
- Sourcegraph
- Syft
- Volta
- Web Test Runner
Assess
- CDKTF
- Chrome Recorder panel
- Excalidraw
- GitHub Codespaces
- GoReleaser
- Grype
- Infracost
- jc
- skopeo
- SQLFluff
- Terraform Validator
- Typesense
[ Languages & Frameworks ]
Adopt
- SwiftUI
- Testcontainers
Trial
- Bob
- Flutter-Unity widget
- Kotest
- Swift Package Manager
- Vowpal Wabbit
Assess
- Android Gradle plugin - Kotlin DSL
- Azure Bicep
- Capacitor
- Java 17
- Jetpack Glance
- Jetpack Media3
- MistQL
- npm workspaces
- Remix
- ShedLock
- SpiceDB
- sqlc
- The Composable Architecture
- WebAssembly
- Zig
1 commentaires
Je me suis demandé ce qu’était La Cathédrale et le Bazar, alors j’ai cherché, et il se trouve qu’une version numérique traduite est aussi disponible gratuitement. Avec, il n’y a pas si longtemps, l’affaire faker.js et color.js, la question de savoir comment l’open source peut gagner de l’argent — et donc rester durable — devient de plus en plus importante aujourd’hui, alors que nous dépendons fortement de l’écosystème open source.