https://cedricvanrompay.fr/blog/index.xml Recent content in Blog on Cédric Van Rompay Hugo en Fri, 11 Oct 2024 00:00:00 +0000 https://cedricvanrompay.fr/blog/aggregated-dependency-score/ Fri, 11 Oct 2024 00:00:00 +0000 https://cedricvanrompay.fr/blog/aggregated-dependency-score/ <p>We argue that &ldquo;quality scores&rdquo; for software packages must take into account the number and quality of the package&rsquo;s dependencies. We suggest an algorithm that does exactly that and <a href="https://github.com/DataDog/aggregated-dependency-score">we provide an open-source implementation</a>.</p> <div class="alert-main"> Most of this work was done as research work at <a href="https://www.datadoghq.com/">Datadog</a>. <a href="https://docs.datadoghq.com/code_analysis/static_analysis/">Datadog Static Analysis</a> can help you monitor the software packages you use and the problems they can cause. </div> <div class="table-of-contents"> <h3>Table of contents</h3> <nav id="TableOfContents"> <ul> <li><a href="#introduction">Introduction</a></li> <li><a href="#a-first-attempt-minimum-score">A First Attempt: Minimum Score</a></li> <li><a href="#multiplying-scores">Multiplying Scores</a></li> <li><a href="#mapping-scores-to-probability-of-maliciousness">Mapping Scores to Probability of Maliciousness</a></li> <li><a href="#incentivizing-the-removal-of-transitive-dependencies">Incentivizing the Removal of Transitive Dependencies</a></li> <li><a href="#conclusion">Conclusion</a></li> <li><a href="#acknowledgements">Acknowledgements</a></li> <li><a href="#appendix-a-inverse-of-f">Appendix A: inverse of $f$</a></li> <li><a href="#appendix-b">Appendix B: Proof of the Equivalence of Two Different Expressions for the Aggregated Score</a></li> </ul> </nav> </div> <h2 id="introduction">Introduction</h2> <p>People in the software industry are becoming more aware of the problems that come from depending on third-party open-source software, and it appears necessary to lower the quantity and increase the quality of third-party software dependencies.</p> https://cedricvanrompay.fr/blog/sempolda/ Tue, 24 Sep 2024 00:00:00 +0000 https://cedricvanrompay.fr/blog/sempolda/ <p>Je suis fier d&rsquo;annoncer que mon projet personnel <a href="https://sempolda.fr/">Sempolda</a> est prêt à être testé par tout le monde. Il reste beaucoup à faire et je vais continuer de l’améliorer, mais il est temps que je cherche aussi des premiers utilisateurs pour obtenir des avis, des demandes, des questions, etc.</p> <p>Il y a quatre ans, pendant le premier confinement, je me suis dit qu&rsquo;il faudrait construire un site web pour voir facilement ce que font le gouvernement, les parlementaires et l&rsquo;ensemble de la classe politique en général, sur n&rsquo;importe quel sujet qui pourrait m&rsquo;intéresser.</p> https://cedricvanrompay.fr/blog/post-mortem-debugging-python/ Sun, 07 Aug 2022 00:00:00 +0000 https://cedricvanrompay.fr/blog/post-mortem-debugging-python/ <p>You run a program you are working on, and it crashes, or it raises an exception. What do you do?</p> <p>The most widespread reaction is to add a few <code>print</code> instructions here and there and re-run the program. These <code>print</code> instructions can print some variables for you to see what their value was at a given moment, or they can just print some text for you to see that “the program was at this line of code at this time”, so that you understand the steps the program went through.</p> https://cedricvanrompay.fr/blog/a-year-and-a-half-of-end-to-end-encryption-at-misakey/ Tue, 08 Sep 2020 00:00:00 +0000 https://cedricvanrompay.fr/blog/a-year-and-a-half-of-end-to-end-encryption-at-misakey/ <p><em>This article was originally published on Misakey&rsquo;s website (<a href="https://about.misakey.com/cryptography/white-paper.html">here</a>). When Misakey closed, it was moved here.</em></p> <p>A journey through some of the reasonings and technical challenges that I had so far as a software developer at Misakey specialized in cryptography and security.</p> <h1 id="how-i-got-here">How I Got Here</h1> <p>I was recruited by Misakey shortly after its first fundraising (February 2019, €1M). The mission of Misakey was, and still is as of today, to provide an easy-to-use and highly secure way to connect people to the numerous accounts they have on other websites, as well as to connect people between each other. One key element of the solution was to encrypt user data in an end-to-end fashion, meaning that, while the data exchanged by users and websites would flow through our servers, it would be encrypted with a key that Misakey does not have. Doing so greatly increases the security of user’s data, but it adds a lot of technical challenges.</p> https://cedricvanrompay.fr/blog/viewing-merge-requests-in-your-editor-instead-of-gitlab-github/ Wed, 13 May 2020 00:00:00 +0000 https://cedricvanrompay.fr/blog/viewing-merge-requests-in-your-editor-instead-of-gitlab-github/ <p><em>This post presents a small tool that I built for myself to help me during code review. It lets you view the diff of merge requests (or “pull requests” if you use GitHub) using the diff viewer of your editor instead of having to browse GitLab/GitHub. After a short overview of the tool (its usage and the git commands it uses), I give a more detailed explanation of its inner functioning, I list the corner cases I took into account, and I give some details on the implementation using Python.</em></p> https://cedricvanrompay.fr/blog/mathexogen/ Fri, 20 Dec 2019 00:00:00 +0000 https://cedricvanrompay.fr/blog/mathexogen/ <div class="alert-main"> 2020-05-13: J'ai commencé une ré-implémentation complète de Mathexogen en JavaScript: <a href="https://cedricvanrompay.gitlab.io/mathexogen/"> https://cedricvanrompay.gitlab.io/mathexogen/ </a> </div> <p>Mathexogen est une application web qui génère des exercices de mathématique avec des valeurs prises au hasard. Cela permet aux élèves de répéter un exercice sans jamais retomber deux fois sur exactement les mêmes valeurs, et aux enseignants d&rsquo;éviter de donner des exercices avec les mêmes valeurs chaque année, ou même de donner à chaque élève des exercices avec des valeurs différentes.</p> https://cedricvanrompay.fr/blog/mesure-de-la-qualite-de-l-air-un-projet-plateforme-pour-le-lycee/ Sat, 27 Apr 2019 00:00:00 +0000 https://cedricvanrompay.fr/blog/mesure-de-la-qualite-de-l-air-un-projet-plateforme-pour-le-lycee/ <p>Il y a quelques mois j&rsquo;ai eu l&rsquo;opportunité d&rsquo;échanger et de travailler avec des professeurs du Lycée Français de Barcelone. En particulier je me suis penché avec eux sur les nouveaux programmes de « Sciences numériques et technologie » et sur la réalisation de projets par les élèves.</p> <p>Tout cela m&rsquo;a donné une idée que j&rsquo;appelle un « projet-plateforme » et qui consiste principalement en un ensemble de projets liés entre eux par un thème commun (ici la mesure de la qualité de l&rsquo;air par des stations). Ces projets pourraient être intégrés entre eux mais seraient aussi pensés pour pouvoir être réalisés de manière indépendante, sans avoir besoin d&rsquo;avoir déjà réalisé d&rsquo;autres projets. Par exemple il n&rsquo;y aurait pas besoin de construire une station pour commencer à faire de l&rsquo;analyse de données : on pourrait utiliser les données produites par d&rsquo;autres stations déjà construites.</p> https://cedricvanrompay.fr/blog/un-tp-niveau-lycee-sur-la-signature-rsa/ Mon, 11 Feb 2019 00:00:00 +0000 https://cedricvanrompay.fr/blog/un-tp-niveau-lycee-sur-la-signature-rsa/ <p>Je suis très fier d&rsquo;annoncer l&rsquo;inauguration d&rsquo;un TP que j&rsquo;ai conçu sur la signature numérique RSA. Le TP a été fait le 1er Février 2019 par les élèves de terminale S option informatique du Lycée Français de Barcelone.</p> <p>Le TP est hébergé à l&rsquo;adresse suivante:</p> <p><a href="https://cedricvanrompay.gitlab.io/tp-rsa">https://cedricvanrompay.gitlab.io/tp-rsa</a></p> <p>L&rsquo;idée de ce TP a été dans ma tête pendant un certain moment. Pendant mes études et mon doctorat à EURECOM, il y avait tous les ans un TP qui présentait RSA, et chaque année en le supervisant je ne pouvais m&rsquo;empêcher de penser à ce que j&rsquo;aurais voulu changer dans ce TP. Rapidement, voici les principales différences qu&rsquo;introduit ce TP:</p> https://cedricvanrompay.fr/blog/une-tres-rapide-introduction-a-la-cryptographie/ Wed, 07 Nov 2018 00:00:00 +0000 https://cedricvanrompay.fr/blog/une-tres-rapide-introduction-a-la-cryptographie/ <h1 id="quest-ce-que-la-cryptographie-">Qu&rsquo;est-ce que la Cryptographie ?</h1> <p>La cryptographie, c&rsquo;est l&rsquo;étude de <em>l&rsquo;information en présence d&rsquo;un adversaire</em>.</p> <p>Regardons cette définition de plus près. Il faut que ce qu&rsquo;on veut protéger soit de l&rsquo;information: si vous cherchez à protéger votre vélo par exemple, il vous faut un antivol, pas un protocole cryptographique. C&rsquo;est parce que votre vélo est un objet physique, pas de l&rsquo;information. Si votre antivol fonctionne avec un code secret, ce code secret, lui, est de l&rsquo;information: si vous voulez l&rsquo;envoyer de façon sécurisée à quelqu&rsquo;un, vous allez peut-être devoir utiliser de la cryptographie.</p> https://cedricvanrompay.fr/blog/notes-on-an-introduction-to-cryptography/ Wed, 11 Apr 2018 00:00:00 +0000 https://cedricvanrompay.fr/blog/notes-on-an-introduction-to-cryptography/ <p>Most intro to cryptography start by presenting the caesar cipher, then how to break it using letter frequency, then most of the time the Vigenere cipher and a few more steps including the one-time pad to go to a presentation of AES. At least that&rsquo;s how I remember the beginning of my first course on crypto. The following is a (crude) reflexion on how I would make an introduction to cryptography for the kind of public we were as EURECOM students.</p> https://cedricvanrompay.fr/blog/sur-lhomeopathie/ Sat, 17 Mar 2018 00:00:00 +0000 https://cedricvanrompay.fr/blog/sur-lhomeopathie/ <p>Les détracteurs de l&rsquo;homéopathie citent le fait qu&rsquo;elle n&rsquo;a pas plus d&rsquo;effet qu&rsquo;un placebo. Ses défenseurs citent de nombreux cas de gens qui vont mieux grâce à des traitements homéopathiques. Derrière cet apparent paradoxe se cache un véritable dialogue de sourds, et un difficile problème philosophique : si vous pouvez soigner quelqu&rsquo;un avec un mensonge, est-il forcément mieux de lui dire la vérité ?</p> <p>Que les choses soient bien claires: je suis convaincu que les soi-disant &ldquo;médicaments&rdquo; homéopathiques n&rsquo;ont aucun effet en eux-mêmes. En disant cela, j&rsquo;ai l&rsquo;air d&rsquo;avoir clairement choisi mon &ldquo;camp&rdquo;: celui des détracteurs de l&rsquo;homéopathie. En fait, je suis assez déçu par ce qu&rsquo;on entend du côté des détracteurs.</p> https://cedricvanrompay.fr/blog/extended-gcd/ Sat, 16 Dec 2017 00:00:00 +0000 https://cedricvanrompay.fr/blog/extended-gcd/ <p>As a PhD student at EURECOM (<a href="https://www.eurecom.fr">https://www.eurecom.fr</a>) I also supervise some course labs as a teaching assistant. One of the labs I supervise is about RSA encryption (<a href="https://en.m.wikipedia.org/wiki/RSA_(cryptosystem)">Wikipedia:RSA (cryptosystem)</a>). RSA is great to teach the basics of cryptography because it&rsquo;s a simple cryptosystem that is widely used in the real world. However, there is one part at the beginning of the lab where many students are struggling: implementing the <em>extended euclidean algorithm</em> (<a href="https://en.m.wikipedia.org/wiki/Extended_Euclidean_algorithm">Wikipedia: Extended Euclidean algorithm</a>).</p>