L’diteur de code Zed tlcharge automatiquement des binaires et des paquets NPM depuis internet sans le consentement de l’utilisateur Contrairement VSCode qui n’installe rien sans demander l’utilisateur

L'diteur de code Zed tlcharge automatiquement des binaires et des paquets NPM depuis internet sans le consentement de l'utilisateur Contrairement VSCode qui n'installe rien sans demander l'utilisateur



Selon une issue publie sur GitHub, l’diteur de code Zed, conu par les crateurs d’Atom et Tree-sitter, tlchargerait automatiquement des binaires et des paquets NPM partir d’internet sans le consentement ou la notification de l’utilisateur, exposant potentiellement ce dernier des menaces de cyberscurit.

Les diteurs de code sont devenus un outil indispensable pour les dveloppeurs, car ils leur permettent d’crire, d’diter et de collaborer efficacement sur le code. Un nouveau concurrent est apparu et a rejoint la comptition des diteurs de code, et il promet de rvolutionner la faon dont les dveloppeurs travaillent : Zed, un diteur de code multijoueur entirement crit en Rust.

Zed est un nouvel diteur de code multijoueur open source crit en Rust. Il a t dvelopp par les crateurs d’Atom et de Tree-sitter – Nathan Sobo, Antonio Scandurra et Max Brunsfeld. L’quipe a lanc Zed au dbut de l’anne 2023 et l’a mis en open source en 2024. Zed se distingue par ses performances rapides comme l’clair et ses fonctionnalits collaboratives de pointe. Il se positionne comme l’diteur de code le plus rapide du moment et se targue d’tre plus performant que des alternatives telles que VS Code, Sublime Text et CLion.

Au cur de la rapidit de Zed se trouve son interface utilisateur innovante base sur le GPU (GPUI). Ce framework GPUI exploite la puissance des processeurs graphiques modernes (GPU) pour rastriser l’ensemble de la fentre de l’diteur, offrant ainsi une fluidit et une ractivit de haut niveau. Il est important de noter que l’diteur de code Zed ne se contente pas d’offrir de meilleures performances. Il offre galement une exprience de codage collaboratif riche, ce qui est hautement ncessaire dans le monde d’aujourd’hui o l’on travaille d’abord distance.

Quelques-unes des fonctionnalits offertes par Zed sont numres ci-dessous :

Intgration de l’IA

Voici un aperu des capacits de Zed en matire d’intelligence artificielle :

  • Prise en charge de GitHub Copilot : Copilot peut vous fournir des suggestions en temps rel bases sur l’IA. Cependant, Zed ne prend pas en charge la fonction de chat de Copilot, et c’est l que les modles Open AI et GPT entrent en jeu.
  • Support pour les LLM d’OpenAI : Zed utilise des modles GPT pour son assistant IA. Vous pouvez demander l’assistant d’effectuer diverses tches telles que la gnration de code, la conversion de code d’un langage l’autre et la documentation.

Framework GPUI

Comme indiqu prcdemment, le secret de la rapidit de l’diteur Zed rside dans son interface utilisateur base sur GPU (GPUI). Ce framework s’appuie sur une nouvelle approche de la construction d’interfaces utilisateur 2D – comme la fentre de l’diteur de code – pour les applications.

Les interfaces utilisateur sont traditionnellement rendues sur l’unit centrale de traitement (CPU). Cependant, avec le GPUI, l’ensemble de la fentre – y compris le texte, les graphiques, etc. – est trame ou convertie en pixels sur l’unit de traitement graphique (GPU), qui est conue pour traiter les tches de rendu graphique plus efficacement que les CPU. Cette approche se traduit par une livraison plus rapide et plus fluide des pixels l’cran et permet de mettre jour et de redessiner plus rapidement l’interface utilisateur de l’diteur de code.

Mode Vim

Zed s’adresse aux dveloppeurs qui aiment utiliser Vim en proposant un mode appel « Vim mode ». L’objectif du mode Vim est de rendre Zed familier aux utilisateurs de Vim. Cependant, le mode Vim ne sera pas 100 % compatible avec Vim, et Zed introduira ses propres fonctionnalits quand et o cela sera ncessaire.

Pourquoi Zed a-t-il cr un mode Vim ? Parce qu’il est crit en Rust, et que Vim est l’un des meilleurs diteurs de code pour les dveloppeurs Rust. Ainsi, la cration d’un mode Vim permet aux utilisateurs de Vim de passer plus facilement Zed. Zed fournit des bindings Vim en mode Vim et utilise Neovim pour les bindings.

Selon une alerte publie sur GitHub, l’diteur de code Zed tlchargerait des binaires NodeJS et des paquets npm sur Internet sans le consentement de l’utilisateur

J’ai remarqu que Zed tlchargeait automatiquement le binaire NodeJS depuis https://nodejs.org sans demander ni mme en informer l’utilisateur. Juste aprs le dmarrage et l’ouverture d’un fichier, sans rien faire d’autre. Et il n’y a pas d’option pour le dsactiver.

C’est tout fait inacceptable !

Non seulement pour des raisons de scurit, mais aussi du point de vue de la convivialit. Je suis actuellement connect via un LTE avec compteur, et Zed vient de consommer 14 MiB de mon forfait. De plus, j’ai dj install node et je l’ai dans PATH. De plus, le binaire tlcharg est en quelque sorte corrompu et il ne fonctionnerait pas sur mon systme de toute faon parce qu’il est construit contre la glibc (c’est comme a que je l’ai remarqu en premier lieu).

Et pour aggraver les choses, s’il fonctionnait, il commencerait installer des paquets arbitraires de npmjs.com via npm et excuterait leurs scripts. Cela reprsente un norme vecteur d’attaque.

Cette approche est totalement inacceptable pour quiconque se proccupe de cyberscurit et pour pratiquement toutes les entreprises, du moins dans l’UE, en raison des lois sur la cyberscurit, des certifications et des audits qui y sont lis.

EDIT : J’ai dcouvert qu’il tlcharge (ici) mme un binaire propritaire de https://supermaven.com, c’est–dire un code non audit et non vrifiable, sans aucune vrification ( l’exception de TLS) ! Au moins, ce n’est pas tlcharg par dfaut… j’espre…

EDIT2 : Zed tlcharge et excute aussi automatiquement des serveurs de langage prconstruits pour C#, Clojure, Deno, Elixir, Gleam, GLSL, Lua, Terraform, Toml et Zig. Il rsout automatiquement la dernire version disponible sur GitHub et la tlcharge, encore une fois, sans aucune vrification.

Source : GitHub

Et vous ?

Quelle lecture faites-vous de cette situation ?

Que pensez-vous de l’diteur de code Zed ? Trouvez-vous qu’il s’agit d’une alternative intressante VSCode ?

Voir aussi :

Zed, un diteur de code collaboratif trs performant des crateurs d’Atom et de Tree-sitter, est dsormais open source

Visual Studio Code : un diteur libre ou un pige pour les dveloppeurs ? Une analyse de Geoffrey Huntley, ingnieur logiciel et un ingnieur DevOps



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.