Kiboko au ForumPHP 2019

Toute l’équipe technique s’est rendue à Paris au Forum PHP 2019 organisé par l’AFUP. L’équipe est enthousiaste de vous présenter notre retour d’expérience et les différents sujets qui nous ont marqué.


Présentation de Blackfire

Entre deux conférences, l’équipe a eu le droit à une présentation détaillée de l’outil de profilage Blackfire par Jérome Vieilledent. Depuis plusieurs mois, Kiboko utilise déjà cet outil afin de trouver les optimisations possibles dans le code. Mais cette présentation nous a permis de découvrir les nouveautés de ce profiler, de faire découvrir cette solution à toute l’équipe et également de découvrir certaines fonctionnalités que l’on n’utilisait pas ou très peu.


Darwin et l’agilité

La conférence de François Zaninotto était en réalité menée par un certain professeur « Eugene Fournier » dans le cadre d’un rassemblement d’experts des insectes. L’éminent faux scientifique a expliqué devant son assemblée de confrères pourquoi les entreprises des nouvelles technologies travaillant sur des programmes pour micro-ordinateurs personnels, devraient avoir un comportement proche des insectes.

Pour en arriver à ce raisonnement, le professeur Fournier a étudié le cas curieux d’une de ces « start huppe » (à prononcer à la française) et de ses joyeux employés.

Selon lui, la méthode d’évolution des entreprises, qu’on appelle « agile », accorde trop d’importance aux échecs et réussites des projets, alors que selon Charles Darwin, l’évolution d’une espèce est aléatoire, la sélection naturelle servant à faire le tri entre les espèces qui subsistent ou non. Un talk qui fait réfléchir.

Clément


Se prémunir contre l’imprévisible : une analyse des failles les plus courantes en php

Paul Molin nous a présenté les failles les plus courantes en PHP, de la XSS (Cross Site Scripting), à la SQLi (Injection SQL), en passant par la XXE (XML External Entity), nous avons pu nous rendre compte que l’exploitation de ces failles est relativement aisée, et que même un développeur chevronné pouvait par mégarde introduire dans son code des vecteurs de vulnérabilités.
Bien que la XSS puisse paraitre faible en terme d’impact et de vulnérabilité, elle reste l’une des principales causes de vols de credentials…
Un input mal échappé en front et c’est la XSS assurée, et si l’input à vocation à être sauvegardé en base de Données, la XSS est alors stockée (Stored XSS).

De la même manière, un champ input qui permettrait d’appliquer un filtre sur une liste d’éléments, peut-être la cible d’une attaque de type SQLi, on injecte dans l’input, non pas un filtre tel qu’attendu, mais du code SQL qui peut alors s’exécuter, tout en « annulant » la requête initiale. (ex : 1′ OR ‘1=1) peut permettre de bypasser une page de login.

Sur certains environnements également, il est possible d’interagir avec une ressource par du XML.Le XML peut permettre une attaque de type XXE, où l’attaquant défini une entité XML spécifique qui pourrait être la liste des utilisateurs du server (/etc/passwd), ou même le fichier des mots de pass hashés (/etc/shadow) et ensuite l’injecter dans le formulaire ciblé.

Il nous a démontré que l’imagination des pirates, est illimité… et qu’une petite erreur d’inattention au niveau du code, peut générer de gros dégâts au niveau d’une app.

Maxime


Agressive PHP Quality assurance in 2019

Marco Pivetta, un développeur chevronné, nous a présenté de nombreux outils que l’on peut intégrer à notre workflow de développement web pour limiter les problèmes en production. Le conférencier a notamment insisté sur l’outil PhpStan et Psalm pour détecter des potentiels bugs sans pour autant devoir lancer l’application ce qui en tant que développeur est très rapide et agréable à utiliser.
De plus, nous avons pu voir l’efficacité et la simplicité du security checker de Symfony qui permet de détecter les failles de sécurité dans les applications.

Enfin, Marco Pivetta nous a listé d’autres outils permettant d’assurer la qualité de notre code que l’on peut facilement ajouter à un outil d’intégration continue.

Julien


Résumé

L’équipe a participé à presque toutes les conférences et a bien apprécié le contenu de cette édition. Nous serons de retour en 2020.

Kiboko au ForumPHP 2018

l'équipe Kiboko

Toute l’équipe technique s’est rendue à Paris au Forum PHP 2018 organisé par l’AFUP. L’équipe est enthousiaste de vous présenter notre retour d’expérience et les différents sujets qui nous ont marqué.

l'équipe Kiboko


Sécurité, Bug-Bounty & PHP

En tant que développeurs, nous souhaitons tous développer nos applications de manière sécurisée. Mais qui d’entre nous sécurise de manière fiable ses applications ?

Grâce à une petite application Symfony, Xavier Leune nous a montré que sécuriser son application n’était pas une si mince affaire. Les hackers n’ayant que leur imagination comme limites pour attaquer un site, il est important de penser à un maximum de vecteurs d’attaques possibles.

Xavier Leune, nous a fait la démonstration qu’avec une application qui utilise curl (comme beaucoup), il était aisé de découvrir l’architecture serveur et potentiellement d’en prendre le contrôle. Xavier Leune a également expliqué les raisons de ce qui a poussé CCM Benchmark à ouvrir des Bug Bounty, en partie parce que les développeurs ne sont pas des RSSI(Responsable de la Sécurité des Systèmes d’Information).
Maxime


Sylius

sylius

L’équipe de MonsieurBiz, composée de Jacques Bodin-Hullin et Maxime Huran, nous a présenté leur retour d’expérience de Sylius. Après plusieurs années à utiliser Magento 1 et 2, ils ont décidé de se tourner complètement vers ce nouvel outil e-commerce.

Certes, la courbe d’apprentissage est différente sur ce CMS. Après avoir apprivoisé les notions Symfony essentielles, Sylius permet une souplesse et une personnalisation très avancée.

Côté point forts sur le développement, Sylius permet déjà d’utiliser Symfony 4.1 ce qui permet l’utilisation de bonnes pratiques et des performances accrues par rapport aux autres plateformes. Quelques petites difficultés rencontrées lors de la mise en place d’un mode de livraison spécifique pour un chocolatier, mise à part cela je ne voie pas beaucoup de points négatifs à utiliser et développer sur Sylius.
Xavier


Boostez vos applications avec HTTP/2

Nous avons eu l’occasion lors du talk de Kevin Dunglas de découvrir un nouvel outil : “Mercure”. Il permet de pousser des messages en temps réel, pour qu’une application externe puisse être au courant immédiatement, ce sont les SSE (Server-Side Events).

L’application pousse un message au hub, qui le « redistribue » aux clients.

Kevin nous a proposé un premier exemple d’utilisation : imaginons que sur un site e-commerce un client commande le dernier produit avant la rupture de stock. Dans le même temps un second client un peu moins rapide est aussi sur le point de le commander. Dans un cas d’utilisation habituel, le second client aurait reçu un message d’erreur l’informant de la rupture de stock. Avec mercure, le client pourra être notifié instantanément de la rupture de stock pour ce produit.

Ce n’est qu’un exemple de tout ce qui est possible de faire, imaginons autre chose : Une petite application de sondage où un utilisateur peut voter sur différent sujet. Grâce à Mercure, l’utilisateur peut savoir en temps réel où en est le sondage.

Les points forts du protocole sont la compatibilité avec tout type de serveurs, le support de GraphQL, support le chiffrement, possibilité de restreindre les accès grâce à JWT (JSON Web Tokens)

Le protocole est déja implémenté dans API Platform et intègre le composant Mercure et le bundle Symfony.
Camille


Design patterns

design pattern

Durant le 1er jour du Forum PHP 2018, nous avons pu participer à la conférence de Samuel Roze « Comment j’ai commencé à aimer ce qu’ils appellent design pattern ». Durant ce talk, Samuel Roze nous a démontré pourquoi il est très important de connaître et manipuler correctement les patrons de conception.

Un patron de conception est la meilleure solution connue à un problème de conception récurrent. De ce fait, ils nous permettent de rendre une application beaucoup plus facile à maintenir. C’est pourquoi Samuel Rose nous à incités à beaucoup plus les utiliser notamment celui qu’on appelle le « Décorateur ».
Julien


Machine Learning

Le Machine Learning est l’utilisation de statistiques à partir d’une base de données pour mieux anticiper les besoins ou anticiper des actions futures.

Dans l’exemple de la conférence, le concept de machine learning a été utilisé pour proposer de meilleurs résultats lors de recherches dans l’application. Les développeurs n’avaient pas prévu les mots-clés et synonymes qu’un utilisateur pourrait taper.

Par exemple, un utilisateur pouvait rechercher « mécanicien », même si dans la base de données, il est enregistré « garagiste ». Pour pallier à ce problème, les multiple requêtes ont été enregistrées. Au fur et à mesure que les utilisateurs exécutent les mêmes successions de requêtes, ont peut assumer que les mots entrés sont liés. Au bout de plusieurs itérations, les mots « garagiste », « mécanicien » et « réparateur automobile » font partie du même corpus et donnent les mêmes résultats.

Un autre cas d’utilisation est la reconnaissance de modèle, de motif. Le machine learning n’essaie pas de comprendre des liens mais il établit des corrélations. Selon les articles lus par un utilisateur, on peut lui en proposer des sujets semblables, parce que la machine aura analysé plusieurs articles et saura reconnaitre ceux qui ont la même apparence, le même pattern.

Pour l’entrainer à classer des textes, des images, ou n’importe quel objet, la machine a besoin d’un modèle. Pour cela il faut préalablement catégoriser les objets « à la main » dans une base de données immense, que l’on donne à l’algorithme. A force de dire à l’algorithme quels articles sont « bon » ou « mauvais », il s’efforcera à trouver des points communs insoupçonnables entre les objets d’une même catégorie. Après avoir été nourris de milliers de données, la machine peut avoir un fonctionnement opaque et incompréhensible, même pour ses créateurs. Pourtant, selon l’algorithme utilisé, la classification est habituellement satisfaisante. Mais le Machine Learning ne fait que suivre l’exemple, il est toujours à la merci du jugement humain exercé dans la création du modèle de données.
Clément


Conclusion

Encore un événement AFUP incontournable, nous avons une nouvelle fois apprécié les rencontres, les échanges, les différentes conférences, l’apéro communautaire, les goodies, les confrères… en fait tout ce qui fait le Forum PHP 2018. Un grand merci à tous les organisateurs de cette édition 2018 ! On se donne rendez-vous aux AFUP days le 17 mai 2019 à Lyon.

Kiboko devient Akeneo Silver Partner

Après un peu moins d’un an de partenariat, nous sommes fiers chez Kiboko de devenir Akeneo Silver Partner, un gage de notre implication avec la solution PIM du même nom et de sa communauté.


Silver Partner

Être Akeneo Silver Partner, c’est le résultat de notre travail à aider nos clients pour intégrer Akeneo PIM et les aider à reprendre le contrôle de leurs données produits. Ce nouveau palier dans notre collaboration avec la société Akeneo est aussi le signe de notre développement lors de cette année 2018.


Akeneo PIM

Ce partenariat renforce une nouvelle fois les preuves de notre savoir-faire sur la technologie Nantaise experte dans la gestion de catalogue. Nous travaillons depuis longtemps avec Akeneo et suivons en permanence les évolutions de la solution :

  • Techniciens formés depuis plus de 3 ans afin de répondre aux projets PIM ambitieux
  • Support et assistance complémentaire de l’éditeur pour la mise en oeuvre de la solution
  • Accès privilégié au service de support de l’éditeur, aux nouvelles versions, aux éditions Entreprise, aux envionnements de démonstration…
  • Une valorisation de notre savoir-faire par l’éditeur de la solution
  • Une participation aux événements Akeneo réservés aux partenaires

Si vous souhaitez découvrir le PIM Akeneo ou souhaitez plus d’informations à ce sujet, n’hésitez pas à nous contacter.

Cette semaine nous vous avions présenté la nouvelle version 2.3 LTS d’Akeneo, retrouvez les détails de cette version.

La version 2.3 d’Akeneo vient de sortir

Akeneo PIM 2.3

Akeneo vient d’annoncer la nouvelle version de son PIM. La version 2.3 LTS est sortie avec son jeu de nouvelle fonctionnalités. Kiboko vous fait découvrir les changements et nouveautés.

Akeneo PIM 2.3

Une version LTS

Akeneo vient d’annoncer la sortie de son PIM 2.3 LTS pour les 2 éditions : Community et Enterprise. Cette version dispose d’un Support Long Terme soit 18 mois de maintenance.
Pour mieux comprendre le planning des sorties des versions LTS (« Long Term Support »), Akeneo présente le calendrier de ces versions.


Amélioration de la gestion des produits avec variantes

Akeneo 2.3 améliore encore la gestion des produits avec des variantes. Dans cette version, de nouvelles fonctionnalités ont été ajoutées, Kiboko vous a passé en revue ces nouveautés :

Optimisation des modèles de produits et des variantes de produits

Avec cette fonctionnalité, il est désormais possible de gérer les associations par modèle de produits, avc la possibilité d’importer et exporter ces associations ou d’y accéder par API. À noter dans cette version les variations de produits héritent des associations de leurs modèles de produit parent.

Avantage : simplifier les configurations d’associations, gagner du temps et des efforts en les gérant au bon niveau

Filtres supplémentaires dans l’API

Utiliser l’API pour filtrer les modèles de produits est désormais possible. Les attributs des modèles de produits, les catégories, la date de création, la dernière mise à jour, et plus encore.

Avantage : améliore l’intégration de votre PIM en simplifiant l’utilisation de modèles de produits et des variantes produits dans d’autres outils de votre SI.

Contribution externes sur les modèles de produits (version Enterprise)

Si vous avez des contributeurs à vos processus de gestion et d’enrichissement en dehors de votre organisation, avec
PIM 2.3, les contributeurs externes peuvent travailler sur des modèles de produits. Ils peuvent désormais créer des propositions de modèles de produits via l’interface du PIM, via l’import et via l’API (exemples avec les traducteurs ou les fournisseurs). De plus, le « Teamwork Assistant » peut être utilisé avec des modèles de produits et des variantes de produits (Enterprise Edition uniquement).

Avantage : donner aux contributeurs externes une capacité supplémentaire pour enrichir l’information produit, augmentant la productivité de votre équipe.

Plus de flexibilité sur les variantes

Pour permettre plus de flexibilité sur les variantes de produits, comme la fusion ou la division de modèles de produits, cette version d’Akeneo permet maintenant de changer le parent d’une variante d’un produit ou un modèle de sous-produit dans la même variante de la famille de trois façons différentes : par action de masse, par import et par l’API.

Avantage : une plus grande flexibilité dans le PIM pour accommoder la réorganisation des modèles et des variantes des systèmes sources pour une meilleure précision dans vos canaux de vente.

Nouveau filtre sur les produits

Un nouveau filtre Afficher tous les niveaux d’attributs spécifiques pour n’afficher que les attributs gérés au niveau courant disponible dans le formulaire de produit.

Avantage : permettre aux équipes marketing de se concentrer uniquement sur les attributs disponibles pour l’enrichissement des produits avec les variantes.

Amélioration de la recherche par catégories

Cette version améliore la recherche par catégories dans la grille pour afficher automatiquement les modèles de produits ou les produits classés selon la catégorie sélectionnée. Si un modèle de produit n’est pas classé dans la sélection catégorie mais que ses produits enfants le sont, ses produits enfants seront affichés dans la grille.

Avantage : faciliter la recherche et l’enrichissement des produits avec 3 niveaux d’enrichissement.

Simplification des actions de masse

Pour simplifier les actions de masse sur les variantes de produits (ex : modifier l’état, ajouter au groupe et publier), si le modèle de produit est sélectionné dans la grille, ses variantes seront mises à jour.

Avantage : Gain significatif en productivité lors de la gestion des variantes de produits !


Nouveau tableau de bord pour surveiller le catalogue

Akeneo PIM 2.3 inclut un nouveau tableau de bord conçu pour vous aider à mieux comprendre la typologie de votre catalogue et la taille de votre catalogue. Le tableau de bord vous permet de surveiller une variété de dimensions telles que nombre de produits ou le nombre d’attributs par famille, et vous donne la meilleure donnée pour mesurer la taille de votre catalogue, le nombre total de valeurs de produits.


Les nouvelles fonctionnalités pour la version Enterprise

Amélioration du gestionnaire de ressources liées aux produits

Cette version apporte trois nouvelles améliorations au PAM (« Product Asset Manager », gestionnaire de ressources) qui facilitent la gestion des ressources liés au produit pendant le processus d’enrichissement.

  • Possibilité d’organiser les ressources dans le formulaire produit par glisser-déposer, et récupérer cette action dans le fichier d’exportation.
  • Possibilité de cliquer sur une image miniature et d’afficher une image plus grande.
  • Un nouveau bouton est disponible dans la collection qui permet aux spécialistes du marketing de télécharger des ressources en un clic dans le formulaire de produit, afin qu’ils puissent facilement importer et gérer les assets avec des produits sans avoir à basculer entre le formulaire d’assets et le formulaire de produits.

Nouvel accélérateur PIM pour la mode

L’objectif de l’accélérateur PIM est de rendre plus rapide et plus facile la modélisation d’un catalogue de produits pour un secteur spécifique.

Ce premier accélérateur PIM est destiné à la mode et permet aux fabricants et détaillants de vêtements, de chaussures et d’accessoires de démarrer plus efficacement la construction de leur catalogue de produits. L’accélérateur PIM pour la mode inclut un modèle de catalogue prédéfini avec des attributs, des options d’attributs, des familles, des catégories, des types d’association et un canal par défaut. Le modèle de catalogue peut être installé à l’aide de l’installateur Akeneo en le spécifiant pour utiliser le jeu de données Fashion. L’accélérateur inclut également des exemples de produits pour vous aider à visualiser le résultat final de votre catalogue de produits.

Akeneo Onboarder

L’Akeneo Onboarder est un nouveau produit conçu pour les détaillants et offre aux fournisseurs un environnement pour fournir facilement et rapidement des informations sur les produits directement au détaillant, sans avoir besoin d’accéder à l’instance PIM. Les fournisseurs peuvent même proposer de nouveaux produits au détaillant. Le résultat est une mise sur le marché plus rapide grâce au partage des efforts de collecte d’informations sur les produits avec vos fournisseurs.

Avantages :

  • Introduction de nouveaux produits de fournisseurs de confiance, ce qui permet d’économiser du temps et des effort
  • Sécurisez votre PIM : Seuls les employés des détaillants accèdent au PIM, tout en permettant aux fournisseurs de fournir directement les informations sur les produits à la source la plus fiable – le fournisseur ! Les fournisseurs se connectent à l’Onboarder et ne reçoivent que les informations les concernant
  • Évolutif et accessible : Supporte jusqu’à 2 500 fournisseurs dans un environnement basé sur le cloud. Les données restent dans l’Onboarder et peuvent être mises à jour de manière incrémentielle lorsque les fournisseurs modifient ou enrichissent les données produit au fil du temps

Nous pouvons vous apporter plus d’informations au sujet du PIM Akeneo, contactez-nous pour discuter de vos projets.

Article conçu d’après la release note (EN) d’Akeneo.