En août, le Journal du Net parlait des wiki donc dans un article en français.
Archives mensuelles : septembre 2003
Un bon rapport NRE ?
Dans la lettre de l’ORSE de février 2002, on pouvait lire :
- Qu’est-ce qui fait un bon rapport NRE ? Il doit prendre en compte toutes les parties prenantes, être comparable avec celui des autres entreprises, publié régulièrement, transparent, accessible, vérifiable par des acteurs extérieurs et susceptible d’amélioration continue.
- L’éthique est parfois un voeux pieux lorsqu’elle contredit les intérêts économiques : Pourquoi ne pose-t-on jamais la question du respect des droits humains en Arabie Saoudite ?
- Si 100% des entreprises communiquent dans leur rapport sur les risques financiers et de marché, 75% le font sur l’environnement, 70% sur l’éthique, 56% sur la gestion des risques, mais seulement 27% sur leur politique d’assurance et 18% sur la gestion de crise.
- Cette lettre de l’ORSE donne plusieurs adresses de sites Web fournissant aux entreprises des conseils ou des exemples en matière de reporting NRE
Commercialisez vos logiciels open source
Discussion sur Slashdot au sujet des modèles économiques liés à l’opensource, résumé et extraits :
- Dans le monde des affaires, certains logiciels gagnent à être libres et d’autres à être fermés. Au cours de la vie d’un logiciel, il peut exister un instant critique à partir duquel le logiciel gagnerait à devenir ouvert ou, au contraire, à devenir fermé.
- Un logiciel gagnerait à être ouvert à partir du moment où il permet de gagner plus d’argent en services (installation, paramétrage, assistance, support) qu’en vente de licence.
- Peut-être vaut-il mieux commercialiser des services et des produits s’appuyant sur des logiciels libres plutôt que d’essayer de commercialiser les logiciels libres eux-mêmes (licences).
- Si je développe un logiciel à usage interne et spécifique (pas dans une optique de revente), j’ai en général intérêt à le distribuer sous une licence opensource : je gagne ainsi de la force de recette et de développement en constituant une communauté autour de ce logiciel.
- 1/ développez un logiciel, 2/ prospectez et « vendez-le » largement mais sous licence opensource, 3/ établissez des contrats de services avec vos clients satisfaits par le logiciel (formation, support, maintenance corrective, maintenance évolutive, …), 4/ distribuez-le publiquement sous licence opensource.
- L’idée de commercialiser un service de support sur un logiciel opensource est séduisante mais difficile à mettre en oeuvre. En effet, le principal besoin de support est ressenti au moment de l’installation voire avant le démarrage (démonstrations, avant-vente, …), c’est-à-dire avant que le client ait pu profiter du caractère gratuit de la licence pour s’approprier le produit. Il est alors difficile de vendre un service (trop prématuré).
- Certains aiment distribuer leur logiciel sous deux licences : d’une part sous licence opensource GPL (ce qui empêche l’utilisateur de revendre le produit) et d’autre part sous licence commerciale (afin de permettre à l’utilisateur de revendre le produit après modification ou extension des fonctionnalités). Mais ce modèle rend difficile voire impossible la constitution d’une communauté de développeurs ouvertes puisque les contributions de cette communauté, si elles se font dans le cadre de la licence GPL, ne pourront pas être inclues dans la version commerciale du produit (à moins que les développeurs ne cèdent leurs droits au « propriétaire » du produit).
- Certains produits sont d’abord distribués sous licence commerciale et seules leurs anciennes versions sont distribuées sous licence opensource. Même remarque que précédemment sur la difficulté d’organiser une communauté ouverte de développeurs.
- Les services à vendre autour d’une application web opensouce : 1/ hébergement spécialisé (service en mode ASP), 2/ vente de licences pour des modules et fonctionnalités avancées, 3/ services de conseil, d’assistance, de développement spécifique, d’intégration, 4/ support technique avancé, 5/ autres services (graphisme, …).
L’article qui avait provoqué cette discussion est disponible ici.
SSO : Kerberizez vos applications Apache
Votre application Web tourne derrière un serveur web Apache ? Vous pouvez la doter d’une fonctionnalité de Single Sign On grâce à la technologie Kerberos dans le cas où vos utilisateurs sont déjà authentifiés dans une architecture Kerberos (par exemple au sein d’une forêt Active Directory, ou bien d’un Kerberos Unix du MIT). Pour rendre Apache capable de s’appuyer sur l’authentification Kerberos, il faut lui apprendre à utilise le protocole SPNEGO (Simple and Protected Negotiation). Il vous faut donc :
- un domaine Active Directory avec vos utilisateurs « dedans »
- des utilisateurs ayant Microsoft Internet Explorer comme navigateur (en attendant que Mozilla, et donc Netscape, se dote de capacité Kerberos)
- un serveur Apache version 1.3.x
- un client Kerberos qui fonctionne sur la même machine que le serveur Apache (MIT Kerberos 1.2.3 par exemple)
- le module Apache mod_auth_gss_krb5
- et, surtout, le mode d’emploi !
Connaissances sur le climat (suite et fin)
Bon, ben suite et fin de mon résumé de la synthèse du rapport du GIEC sur les bouleversements climatiques à venir :
- Il faut faire plus de R&D sur l’énergie : une augmentation de l’activité de recherche et développement portant sur l’énergie permettrait d’accélerer le développement et l’utilisation de technologies de pointe et écologiquement rationnelles ; pour réduire les coûts de la stabilisation de la concentration des gaz à effets de serre, il faut développer les transferts de technologies internationaux.
- Tout ça à cause surtout des combustibles fossiles : l’augmentation des concentrations de CO2 au cours du XXIè siècle sera due aux émissions de combustibles fossiles (pétrole, gaz, charbon).
- Oh, les beaux graphiques : si vous hésitiez encore à ouvrir le rapport de synthèse du GIEC, je vous invite à le faire ne serait-ce que pour voir les deux « beaux » graphiques à la fin : l’un montre comment la concentration de CO2 dans l’atmosphère, qui était stable depuis l’an 1000 jusqu’en 1800, a entamé une croissance explosive qui nous laisse présager des sueurs pour les siècles à venir ; l’autre montre comment la température à la surface de la terre, qui oscillait de plus ou moins un demi-degré celsius depuis l’an 1000 jusqu’en 1900, a entamé une croissance qui pourrait nous réchauffer de plus de 5° en moyenne (sachant que seuls 6° C de moyenne nous séparent de la température de l’ère glaciaire)!
Voila, voila…
Zope en hausse d’après netcraft
zegor signale que d’après les statistiques de Netcraft, la part de marché de Zope augmente fortement et constamment, comme l’indique ce graphique : .
La sécurité avec PHP
L’état de nos connaissances sur les changements climatiques
L’IPCC, groupe d’experts sur le climat agissant sous l’égide de l’ONU, a publié une synthèse de nos connaissances sur les changements climatiques. On y confirme un grand nombre de faits scientifiques sur les bouleversements qui se produisent actuellement sur notre planète :
- Notre climat a déjà commencé à changer : au cours du XXè siècle, la température a augmenté de 0,6 °C ; les précipitations sur les continents ont augmenté de 5 à 10% ; il y a eu plus souvent de fortes précipitations ainsi que des sécheresses plus fortes et plus fréquentes ; le niveau de la mer a augmenté de 1 à 2 mm par an ; les glaciers de montagne ont commencé à fondre ; et ces changements ont coûté beaucoup d’argent partout sur la planète. Et ces changements sont essentiellement dus à l’homme.
- Ca va empirer sur le XXIè siècle : la température moyenne va augmenter de quelques degrés, ce qui représente une augmentation qui n’a jamais été aussi forte au cours des dix derniers millénaires ; les précipitations vont augmenter de 5 à 20 % ; les glaciers vont continuer à fondre sur toute la planète ; la mer va monter de l’ordre de 9 à 88 cm ; ces changements auront globalement des conséquences néfastes sur l’homme et sur l’environnement ; les pays pauvres et ensoleillés souffriront de risques accrus pour la santé ; les espèces fragiles seront probablement plus nombreuses à disparaître ; les populations qui vivent sur des îles, en bord de mer ou dans des régions de deltas sont menacés par de graves inondations et tempêtes ; ce sont essentiellement les pays les plus pauvres qui souffriront des changements du climat (santé, accès à l’eau potable, …)
- La météo du siècle prochain sera vraiment morose : plus de jours chauds, de vagues de chaleur, de fortes précipirations, moins de jours froids ; plus de décès et de maladies chez « les vieux » et « les pauvres » en milieu urbain ainsi que chez les animaux sauvages ou d’élevage ; des modifications dans les destinations touristiques ; plus de besoins en climatisation électrique ; plus de pannes de courant ; moins de morts liées au froid ; plus de parasites et de maladies liés à la chaleur ; moins besoin de chauffage domestique ; plus d’inondations, de glissements de terrain, d’avalanches, de coulées de boue ; plus d’érosion des sols ; plus de recours aux assurances contre les effets des catastrophes naturelles ; plus de fissures dans les bâtiments, liés à la sécheresse ; moins d’eau potable ; plus d’incendies de forêts ; des destructions accrues des récifs coraliens et des mangroves ; moins de puissance éléctrique fournie par les barrages ; plus d’inondations et de sécheresses dans les zones sujettes à la mousson ; on ne sait pas si il y aura plus ou moins d’orgages, de tornades, de grêle, etc. ; à plus long terme, la glace de l’antarctique et du Groënland pourrait fondre pendant 1000 ans et faire ainsi monter le niveau de la mer de plusieurs mètres
- Et c’est parti pour un bon bout de temps ! En effet, même si nous commençons à réduire nos émissions en CO2 en 2050, la quantité de CO2 dans l’atmosphère ne cessera d’augmenter qu’en 2200, la température ne cessera d’augmenter qu’en 2500 et la mer ne cessera de monter que dans plusieurs milliers d’années ! En plus de cela, il faut à la société plusieurs années ou plusieurs décennies pour passer de l’étape « oh, oh, il y a vraiment un problème ! » à l’étape « nous avons mis en oeuvre des solutions qui seront efficaces ».
- On peut faire face, mais ça va coûter cher : on peut d’une part mettre en place des mesures d’adaptation (s’adapter au changement pour limiter les effets néfastes et renforcer les effets bénéfiques) et d’autre part mettre en place des mesures d’atténuation (réduire, retarder ou raccourcir les changements climatiques néfastes) ; plus nous réduirons nos émissions de gaz à effet de serre, plus le réchauffement climatique et l’élévation du niveau de la mer pourront être réduits et ralentis et plus les effets néfastes sur l’homme et l’environnement seront réduits ; la réduction des émissions de gaz à effet de serre est économiquement rentable (le coût est inférieur aux dommages qui seront subis) mais on ne sait pas chiffrer cette rentabilité ; nous avons fait des progrès technologiques pour nous faciliter la réduction de ces émissions ; nous sommes vraiment en mesure de réduire ces émissions de manière considérable ; même si nous réduisons nos émissions, il faudra apprendre à vivre avec un climat chamboulé ; on pourrait retarder les changements prévus par l’utilisation des « puits et bassins de carbone » (forêts, terres agricoles, …)
Pour la suite et fin de mon résumé-de-la-synthèse, il faut aller voir plus tard.
Réseaux formels du savoir
Une étude de l’institut international du développement durable présente quelques cas canadiens de réseaux formels d’échange de savoir. Les cas cités sont ceux des « réseaux de centres d’excellence (RCE) », d’instituts de recherche « fonctionnant en réseau », d’ « observatoires », de programmes de recherche ou de lobbying, de centres de ressources et d’ONGs. Le cas annoncé comme le plus intéressant est celui des RCE.
L’action de la Fédération Internationale de la Croix-Rouge et du Croissant-Rouge (FISCR) est également étudiée en particulier en ce qui concerne ses modes de distribution du savoir : » La fédération vise à fournir des trousses d’information aux délégués avant qu’ils n’arrivent sur la scène d’une catastrophe. Une partie de cette information, dont les politiques de la fédération, les procédures et les informations particulières au pays comme les cartes, sera sans doute offerte sur CD-ROM. Il semble clair qu’une fois ce travail parachevé, on en saura beaucoup plus sur les secours en cas de catastrophe et on pourra les organiser plus rapidement et mieux les adapter à la situation. La composante communication des données portera, elle, sur la création d’un réseau de télécommunications qui s’appuiera principalement sur le courrier électronique. En situation de catastrophe, cela est souvent difficile sur le terrain. Depuis 1994, la fédération se sert de liaisons à haute fréquence au moyen de
PACTOR — modem radio servant à la transmission de données — pour relier
des endroits éloignés aux services de courrier électronique à Genève. Cela a
donné de bons résultats particulièrement durant la crise au Rwanda, permettant
de transmettre des rapports sur la situation et des demandes d’aide. La fédération
a aussi étudié la possibilité d’utiliser des satellites non synchrones à orbite basse
(LEO) qui peuvent offrir une couverture continue des communications au-dessus
de la surface de la terre, et se sert également des réseaux de données X25,
de l’Internet, de satellites (Inmarast M et Mini M principalement), de la radio
(HF/VHF/UHF voix), de la transmission à haute fréquence et basse vitesse de
données (PACTOR) etc., souvent dans des conditions difficiles. Le défi consiste
à créer un véritable réseau de cette diversité de moyens. «
Bigre, voila qui paraît alléchant !
Contrôle d’accès et gestion de sessions
De manière connexe aux problématiques d’annuaires se trouve celles de la gestion des contrôles d’accès et donc de l’authentification, de la gestion des droits d’accès à base de rôles (RBAC = Role Based Access Control) et de la gestion de sessions. Une publication auprès de l’IEEE donne un exemple d’approche globale de ces problématiques et esquisse la conception d’un système de gestion de la sécurité pour le Web faisant abstraction, par exemple, des technologies d’authentification sous-jacentes (Kerberos, SSL + X509, LDAPS, NTLM, NIS, …).
XACML : un pseudo-standard de plus pour les services web
XACML est encore un autre standard pour les services web. Ce vocabulaire XML prétend couvrir la problématique de l’authentification (permettre à un agent de prouver qu’il agit bien au nom d’une personne donnée). En fait, il semble plutôt couvrir la problématique de l’autorisation (donner ou non le droit à un agent d’agir sur une ressource).
Avec XACML, les ressources à protéger sont sous la garde d’un service d’autorisation nommé PEP (Policy Enforcement Point). Le PEP formule en XACML la requête que l’agent adresse à la ressource (« Je, soussigné agent XYZ, désire lire la ressource ABC. ») Le PEP envoie cette requête XACML à un « PDP » (Policy Decision Point). Le PDP compare la requête XACML avec les règles d’autorisation qui ont été définies pour s’appliquer aux requêtes de ce type, sur cette ressource ABC. Le PDP formule sa décision d’autorisation (« Je consens à ce que l’on réponde à cette requête » ou « je refuse ») également en XACML et envoie ainsi sa réponse au PEP qui, lui, agit en conséquence (donne accès à la ressource ou renvoie un message d’erreur).
On peut lire dans une discussion à ce sujet sur Slashdot :
- » C’est une erreur fondamentale que de vouloir inclure des expressions logiques (telles que requises pour les décisions de contrôle d’accès) dans un langage (XML) qui ne le supporte pas. «
- » Les standards de ce type ne représentent pas un progrès, ils représentent une masse croissante de redondance qui devra un jour être refondue pour former un tout cohérent. «
Vous allez être victime d’un vol d’identité
C’est probable : un jour, quelqu’un vous volera votre identité… et l’utilisera pour vous voler de l’argent, votre tranquillité d’esprit ou qui sait quoi d’autre. Vive la CNIL !
Développez avec des triplets
Comment construire des applications de gestion de méta-données ? Avec des triplets RDF, pardi ! Oui, mais comment implémenter cette application ? A l’aide du langage python et de la bibliothèque rdflib, pardi !
Comme l’expliquait cet article sur xml.com en début d’année, Rdflib permet de générer, stocker et fouiller des collections de triplets RDF sans avoir à toucher à la syntaxe XML associée à RDF. La seule chose dont vous avez besoin, c’est de connaître un minimum de python. Vous vous rendrez rapidement compte que bâtir une application à base de triplets, c’est (un peu) comme bâtir une application avec une base de données relationnelle mais sans avoir à concevoir au préalable le schéma de votre base de données. Et vous vous rendrez surtout compte que RDF, c’est quelque chose de simple à condition de vous appuyer sur une bibliothèque de type rdflib. En effet, l’architecture interne du stockage de RDF et la syntaxe XML de RDF sont des sujets que vous n’avez pas besoin de connaître pour pouvoir tirer profit des technologies du web sémantique dans vos applications.
Cas concrets de développement durable
La Fondation du Roi Baudouin définit ainsi le développement durable : » A l’échelon de l’entreprise, le développement durable consiste à systématiquement appliquer une stratégie intégrant à la fois les impacts économiques, environnementaux et sociaux dans la gestion de l’entreprise. C’est ce que l’on appelle l’approche ‘ triple bottom line ‘. Reste ensuite, et c’est un point essentiel en matière de DD, à partager et faire connaître cette stratégie aux ‘ stakeholders ‘, autrement dit à tous les acteurs ou groupes d’intérêt liés aux activités de l’entreprise (actionnaires, clients, fournisseurs, personnel, autorités, riverains, …). « Les entreprises néophytes en matière de développement durable peuvent s’interroger : » Est-il bien opportun pour nous de nous engager dans un tel processus ? Quel coût cela va-t-il représenter ? Quels seront les avantages et les inconvénients ? Quels seront les impacts (prévisibles ou non) d’une telle approche sur notre stratégie, notre personnel, notre management ? «
C’est pour répondre à ces interrogations que ce rapport de la Fondation du Roi Baudouin illustre avec quelques exemples pratiques la manière dont les entreprises peuvent choisir de décliner le concept de développement durable dans leurs activités. Parmi les leçons tirées de ces cas pratiques je retiens trois clefs du succès : humilité, pragmatisme et communication. Ces différents cas présentent également un rôle particulier des ONG vis-à-vis des entreprises : c’est parfois une ONG qui assure l’exécution d’un projet de développement durable d’une entreprise de manière à profiter d’une bonne connaissance de nouveaux terrains d’action (pays en voie de développement, etc.) tout en évitant d’avoir à engager des coûts trop importants pour découvrir ceux-ci.
DRH = mal nécessaire ou source de profit ?
Il faut bien le dire, la direction des ressources humaines, dans une entreprise, est généralement considérée comme un centre de coût et non une source de valeur et donc de profit. Dans un colloque désespéré (bon, j’exagère un peu…), les DRH tentent de valoriser leur rôle. Ainsi, pour la gestion des ressources humaines, la recherche de rendement est une menace car, comme pour tout centre de coût, l’objectif est alors de réduire cette coûteuse activité de gestion (au profit des activités « productives »). De plus, l’essentiel du coût de la GRH réside dans des activités où la création de valeur est faible (processus d’administration du personnel) qu’il s’agit donc d’externaliser ou d’automatiser. Que les DRH puissent s’en dégager pour investir le champ de la stratégie d’entreprise reste donc souvent un voeu pieux.
Pourtant, parmi les sources potentielles de valeur de la GRH, on cite lors de ce colloque :
- les schémas d’incitation des salariés (actionnariat salarié, intéressement au chiffre d’affaires, stock option, …),
- l’adaptation culturelle des salariés aux nouveautés technologiques (distribution de PC à usage privé pour les salariés),
- la capacité à attirer et à retenir des talents, le système d’intégration des collaborateurs,
- les plans de formation ambitieux,
- la valorisation éthique de l’entreprise du point de vue du marché boursier,
- l’évaluation du manager en fonction de sa GRH
- le développement de la mobilité interne
La difficulté à vaincre pour valoriser ce type d’action réside dans la difficulté d’en évaluer les résultats. » Il s’agit en réalisation plus de conviction que de faits démontrés par la pratique. « Ces résultats sont d’autant plus difficile à appréhender qu’ils ne seraient perceptibles que sur le long terme. » Le DRH est pris entre un actionnaire volatile, un client dont la fidélité est de six mois ou un an, un salarié dont la fidélité est de plusieurs années, et un environnement sociétal par rapport auquel des engagements sont pris sur des dizaines d’années. «
En conclusion de ce colloque, M. Igalens déclare : « D’autre part, le langage est un piège. Le terme de valeur a-t-il réellement un sens identique lorsqu’il est accolé à “ social ” et à “ économique ” ? Jean-Marie Messier, se posant la question de la valeur, estime qu’il vaut ses 150 millions de stock-options, car il a fait gagner 50 milliards à ses actionnaires. Je pense qu’il vaut évidemment bien plus, mais pas plus que le clochard devant la porte de Vivendi. Dès lors que l’on applique à l’homme la notion de valeur, on entre dans le domaine de l’incommensurable. On ne peut quantifier ce qui est d’un autre ordre.
Etudier la performance, et donc la valeur des politiques sociales équivaut à risquer de se soumettre à une illusion monétaire. Le domaine social n’est pas réductible à des explications en termes d’argent. Mesurer ainsi la performance sociale ramène automatiquement à des valeurs économiques, ce qui au final constitue un piège dans lequel il faut prendre gare de ne pas tomber. »
ROPE = Rdflib + zOPE
He is doing it : trying to tie together Zope and the magic of RDF triples, with the help of a nice ROPE. Go for it, Reinout !
Persistence objet sur LDAP, avec mapping
- En Java, avec DSML (mais module non supporté) : http://castor.exolab.org/index.html
- En Python, d’après Industrie Toulouse : http://toulouse.amber.org/archives/2003/04/21/evaluating_objectrelational_migration.html puis http://toulouse.amber.org/archives/2003/06/26/applying_mapping_patterns_to_ldap.html
- En Python, encore : http://mail.zope.org/pipermail/zope/2003-March/132270.html
- La persistence en Python, mais y a-t-il une solution concernant LDAP comme support : http://www.orbtech.com/wiki/PythonPersistence
- Une abstraction de stockage (mais sans mapping ?) : http://www.meta-language.net/metastorage.html
- En Perl : http://spops.sourceforge.net/doc/SPOPS/LDAP.shtml