Parlons de Github

February 27, 2014

Aujourd’hui, c’est trolldi alors parlons de Github.

Les plus :

  • Uniformisation du mode de développement : Lorsqu’un projet est sur GH, sauf exception comme torvalds/linux, la soumission d’un patch est naturelle via une pull-request, il n’y a plus besoin de trouver l’URL du repository des sources, écrire son patch, s’inscrire à la liste des développeurs pour poster son patch et attendre.

C’est un avantage indéniable.

  • Dans cette uniformisation, on a également structuré les développeurs : ils ont enfin repris goût à écrire des README, ils disposent d’un bug-tracker qui n’a rien à envier aux logiciels “professionnels” et un wiki est à disposition si besoin. En gros, il n’y a plus l’excuse du “ah oué il faut que je monte un bugzilla dès que j’aurai acheté plus de crédit CPU à ma VM”.

  • Les projets sur GH sont devenus participatifs et non plus en lecture seule comme avant.

  • La création d’un nouveau projet est l’histoire de 2 minutes chrono.

Les moins :

  • GH, malgré lui, a tué l’ecosystème de git. À part Joey Hess qui continue de développer des outils (géniaux) autour de git, tout le monde a abandonné l’idée d’écrire des logiciels facilitant la vie des utilisateurs.

Par exemple, parlons de l’hébergement de projets, y a quoi ? Gitlab (et ses vulns triviales) ? Gitblit ? Gitorious (qui a son propre exploit dans Metasploit ?

Gitolite ou gitosis (abandonné par Debian) sont incomplets : déjà, la création de repository est soit dépendante d’un administrateur disponible, soit nécessite de donner trop de privilèges aux utilisateurs. Ensuite le transport SSH est pas pratique en déploiement d’entreprise :

  • impossible d’utiliser des OTP (notez que pour ce point, on peut aussi utiliser des clefs signées sur une machine de confiance avec une durée de validité minime.)

  • ssh ne supporte pas vraiment de traverser les proxy (même si c’est possible via corkskrew)

  • GH est une boîte comme les autres. Elle doit suivre les lois^Wpressions politiques lorsqu’elle recoit des [DMCA Takedowns abusifs](https://github.com/github/dmca/blob/master/"2014-02-12" doit également subir les lois liberticides US.

  • Question naïve mais… Est-ce que GH fait des backups ?