Pas moins de 18 packages JavaScript, téléchargés plus de deux milliards de fois par semaine, ont été infectés par du code malveillant. Les experts qualifient cette attaque de plus grande faille de sécurité de l'histoire de l'écosystème open source. Les bibliothèques compromises ont été distribuées via npm, l'un des principaux registres de packages de Node.js, et ont atteint des millions de projets à travers le monde. Selon le rapport d'Aikido, les versions infectées des bibliothèques contenaient un fragment de code s'exécutant directement dans le navigateur de l'utilisateur. Le script interceptait les activités liées aux cryptomonnaies et aux protocoles Web3, manipulait les opérations de portefeuille et réécrivait les adresses de destination des transactions. Les fonds des victimes étaient alors crédités sur des comptes contrôlés par l'attaquant au lieu d'atteindre leurs destinataires. Plusieurs monnaies numériques étaient ciblées, notamment Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash.

Les détails de l'incident indiquent que l'attaque n'était pas techniquement sophistiquée. L'administrateur des paquets en question, connu sur Bluesky sous le nom de « bad-at-computer », a reçu un e-mail se faisant passer pour une demande d'assistance npm. Le faux lien a permis aux attaquants de réinitialiser leur sécurité à deux facteurs, leur donnant ainsi un accès complet au compte et la possibilité de publier des versions malveillantes des bibliothèques. En d'autres termes, une attaque mondiale visant des milliards de téléchargements a débuté par un clic sur un e-mail de phishing. Ce n'est pas la première fois que l'écosystème open source est ciblé. En 2016, un incident impliquant la suppression d'un petit paquet de gauche a paralysé des milliers de projets, démontrant la fragilité des infrastructures logicielles. Les années suivantes ont vu d'autres attaques compromettre les comptes des mainteneurs des bibliothèques Python, Ruby et Java.

L'industrie a tenté de réagir en promouvant les nomenclatures logicielles (SBOM) et en exigeant l'utilisation de l'authentification à deux facteurs. Cependant, cette dernière attaque démontre l'insuffisance des mesures actuelles. L'ampleur des dépendances dans le développement logiciel moderne signifie qu'une seule faille dans le processus de publication peut impacter l'ensemble des chaînes d'approvisionnement. Les experts préviennent que cette fois, l'impact s'est limité à des tentatives de vol de cryptomonnaies. Cependant, la facilité avec laquelle des packages aussi répandus ont été infectés démontre le potentiel catastrophique. Avec une intention suffisamment malveillante, des bibliothèques modifiées pourraient être utilisées pour divulguer massivement des données, installer des portes dérobées ou saboter des infrastructures critiques.

Iron Meat est un titre qui ne cache pas ses inspirations, au contraire, il les embrasse ouvertement. Dès que vous démarrez le jeu, les vétérans des années 80 et 90 reconnaîtront immédiatement l'influence prégnante de Contra, l'un des classiques intemporels du genre run 'n gun. Il est cependant important de souligner que « Iron Meat » n’est pas un simple clone : il parvient à emprunter des éléments clés, mais apporte sa propre identité à travers une direction artistique distinctive et sa propre vision du gameplay. Iron Meat ne laisse aucune place à l'hésitation : dès les premiers instants, les joueurs sont catapultés dans une expérience frénétique, où chaque pas nécessite des réflexes rapides et une précision extrême. La progression est linéaire, avec des niveaux rapides et une action incessante, mais malgré cela, le jeu ne semble jamais trop frustrant. Les commandes sont réactives, une caractéristique fondamentale pour un titre de ce genre, et les différents modèles d'ennemis, bien que complexes, sont bien équilibrés pour offrir un défi équitable. Un aspect très positif du gameplay est sa capacité à maintenir une forte tension sans jamais devenir répétitif. Les ennemis changent constamment, offrant un large éventail de situations tactiques et de scénarios en constante évolution. Le jeu récompense le joueur qui observe et apprend de ses erreurs, sans pour autant trop pénaliser les moments de distraction ou d'action impulsive. Cependant, tout comme dans les classiques dont il s'inspire, la vitesse et l'intensité sont les clés du succès : s'arrêter trop longtemps au même endroit peut signifier une mort certaine.

Dès JDK9, Oracle arrêtera les modules d'extension Java, cette approche étant jugée dépassée et peu sécuritaire. L'éditeur mentionne qu'il est préférable d'utiliser Java Web Start Technology pour laquelle aucun plugin n'est nécessaire, au lieu des Java Applets.

Mark Reinhold, architecte en chef du JDK chez Oracle, demande un report de la date de sortie du JDK 9 de 6 mois. En effet, certaines fonctionnalités liés à Jigsaw, le concept supportant la modularisation dans le JDK, ne sont toujours pas publiées, et Reinhold propose ainsi de repousser la date limite de finalisation de la liste des fonctionnalités au 25 mai 2016 et la date de publication finale du JDK au 23 mars 2017. Les membres du comité de décisions du JDK 9 ont jusqu'au 8 décembre pour déclarer leur objection, dans le cas contraire le report sera automatiquement adopté.

Oracle a officiellement annoncé que Java EE 8 n'arriva finalement que dans la première moitié de 2017. Le communiqué de l'éditeur précise que "les différentes latences impliquées dans le lancement des groupes d’experts aussi bien que les autres exigences sur le temps des spécifications ont eu pour conséquence de repousser un peu la date". D'ici là, les entreprises et les particuliers peuvent télécharger et essayer les différentes implémentations de Java EE 8 afin de fournir des retours d'expérience pour les développeurs.

Oracle vient officiellement d'annoncer l'arrêt des mises à jour pour Java SE 7 (Standard Edition) dès la fin du mois d'avril 2015. Depuis mardi, une dernière mise à jour critique est disponible en téléchargement et intègre 14 nouveaux correctifs de sécurité. Les entreprise peuvent obtenir un soutien long terme, mais le montant de la commission annuelle n'a pas été précisée. Pour les autres, le processus de migration des utilisateurs de Java 7 à Java 8 via la fonction de mise à jour automatique devrait avoir lieu très bientôt.

Oracle vient de lancer une nouvelle mise à jour de Java Development Kit 8 (JDK 8u40). Il est fait état d'améliorations notamment dans la gestion de mémoire, les performances, le packaging natif, et le support JavaScript, mais aussi de quelques corrections de bugs. Les modifications complètes sont décrites dans le lien ci-dessous.

La version 9 du JDK est attendu pour 2016. En attendant, Oracle a mis en ligne une préversion à la disposition de toute personne voulant tester, participer à l'amélioration ou simplement proposer de nouvelles fonctionnalités via le JEP (Java Enhancement Proposals).

Parmi les JEP actuellement retenus pour JDK 9, on trouve l'amélioration de l'API process, un renfort du verrouillage de contenu lorsque plusieurs threads concurrents tentent d'accéder à la même ressource en même temps, un allègement de l'API JSON, segmenter le cache du code et aussi implémenter la deuxième phase de la compilation java intelligente .JDK 9 peut être téléchargé ci-dessous.

Il y a quelques semaines, la FAQ de Java 7 annonçait que la fin du support de Windows XP par Microsoft devait également signifier la fin de la publication de correctifs pour Java 7. Dans un message sur le blog d'Oracle, Henrik Stahl, vice-président responsable de la gestion des produits au sein du groupe Java, a dissipé la rumeur et a confirmé que les prochaines mises à jour de JDK 7 seront bien compatibles Windows XP. Henrik Stahl a également confirmé que Java 8 n'est pas pris en charge sur Windows XP et qu'il faut une intervention manuelle pour pouvoir l'installer.

Plus de 56 nouvelles fonctionnalités ont été ajoutées dans Java 8. Pèle-mêle, on pourra citer l'arrivée des lambdas , des méthodes par défaut, l'incorporation d'une nouvelle API pour gérer les dates, la présence des interfaces fonctionnelles (anciennement connus sous l'appellation Single Abstrat Method Interfaces) ou encore un tout nouveau moteur d'exécution JavaScript.