Flux RSS
Architecture logicielle
2077 documents trouvés, affichage des résultats 31 à 40.
| < Les 10 documents précédents | Les 10 documents suivants > |
(02/02/2012 10:54:52)
Cobol : un langage incontournable, en mal de reconnaissance
Microfocus, spécialiste de solutions de développement, test et modernisation d'applications d'entreprise, a souhaité faire un état des lieux du langage Cobol auprès des responsables informatiques. L'éditeur a donc envoyé 20 000 questionnaires et a obtenu 281 sondages validés avec une répartition de 186 clients et 95 SSII. Il a ainsi réalisé le 1er observatoire du Cobol auprès des décideurs informatiques. Sans surprise, les secteurs d'activité où le langage est le plus présent sont les banques et les assurances, le secteur de l'informatique et des SSII, mais aussi le secteur public. Cette étude transmet plusieurs enseignements, selon Patrick Rataud, directeur général France et Bénélux. « Le Cobol est très présent dans les entreprises et dans nos activités quotidiennes » avec « 30 milliards de transactions quotidiennes reposant sur des systèmes Cobol ». Dans l'étude, 83% des répondants déclarent utiliser ce langage dans au moins une application importante dans leur entreprise.
Un langage indispensable et fiable
Quels sont les avantages de ce vieux langage (né en 1959) pour les sondés ? La fiabilité et la facilité de maintenance arrivent en tête des bienfaits du Cobol, tout comme son caractère indispensable au business. Sur ce dernier point, il faut relativiser par rapport à la prévalence des systèmes sous Cobol installés il y a quelques années et qui ne peuvent pour des questions de temps et d'argent être remplacés. Selon Patrick Rataud, « la majorité des applications Cobol est maintenue en l'état et en production ou en cours de modernisation » et d'ajouter « sur ce dernier point, nous constatons plusieurs axes : créer une interface vers de nouveaux canaux pour les partenaires ou en interne, aller vers des infrastructures plus ouvertes comme Unix ou Linux, migrer des applications, etc. » Pour le responsable, les décideurs informatiques sont à la recherche de systèmes agiles et simples à faire évoluer tout en minimisant les risques avec la maturité du langage. Il salue aussi l'ouverture de Cobol à d'autres langages informatiques notamment Java et Eclipse, .net et Visual Studio et même la partie cloud, « mais cela reste très embryonnaire », confie Patrick Rataud.
Facile à apprendre, mais déficit d'image
Dans les avantages du Cobol, un des points le plus souvent cité est la facilité d'apprentissage du langage. Le seul souci souligne Patrick Rataud est que le langage « pâtit d'une image de faible attractivité auprès des développeurs ». La majorité des répondants à l'étude considère le Cobol comme un langage peu actuel. Microfocus a donc lancé un programme destiné aux universités et écoles pour proposer gratuitement ses logiciels en Cobol. Il précise que les diplômés ayant une connaissance en Cobol n'ont aucun souci de recrutement, y compris auprès des constructeurs de grands systèmes comme les mainframes qui sont en manque de compétences. Selon l'étude, un peu moins de la moitié (45%) des entreprises peinent à embaucher des cobolistes. Un taux qui monte à 57% pour les SSII.
Fort de ces résultats, Microfocus veut pérenniser cet observatoire qui lui permet d'avoir une vision sur l'appréhension de Cobol de la part des entreprises et des SSII et essayer de dépoussiérer l'image de ce langage créé il y a 53 ans.
Conférence CIO : Le Cloud Computing à l'épreuve de la réalité
Le jeudi 16 février 2012, retrouvez-nous au Pavillon Dauphine - Paris 16e pour la conférence "Le Cloud Computing à l'épreuve de la réalité".
Dans cette période d'incertitude économique, les entreprises les plus ambitieuses veulent mieux maîtriser leurs coûts IT tout en renforçant leur capacité d'évolution, leur agilité et leur réactivité. Le Cloud Computing est idéalement positionné pour répondre à ces enjeux.
Côté budgets, le Cloud Computing annonce une facturation à l'usage ainsi qu'une réduction drastique des frais d'investissements en infrastructures et des coûts d'exploitation. Côté atouts techniques, le Cloud promet une flexibilité et une réactivité maximales lors de la montée en charge des applications et une plus grande souplesse lors des déploiements ou des modifications de configuration.
Pour vous inscrire
Pour découvrir le programme complet
(...)
SAP prêt à ouvrir sa technologie HANA à Oracle
SAP serait prête à ouvrir sa technologie HANA à son grand rival Oracle. «Ce serait tout à fait possible. La question est de savoir si Oracle pourrait imaginer cela», a indiqué Bill McDermott, co-CEO de SAP, en réponse à une question de la Frankfurter Allgemeine Zeitung dans un entretien publié le 30 janvier. «Plus sérieusement : une plateforme technologique n'a de sens que si elle est ouverte à des partenaires, et même à des concurrents. Des partenaires comme Cisco, Dell, Fujitsu ou encore HP utilisent déjà notre technologie HANA, et nous sommes ouverts à tout», poursuit-il.
Pour rappel, la technologie HANA, qui permet une analyse très rapide de grosses quantités de données, a été lancée en grande pompe l'an dernier, et a connu un franc succès auprès des clients de SAP, contribuant aux bons résultats financiers présentés la semaine dernière.
ICTjournal.ch
Oracle propose un comité unique pour superviser les spécifications Java
Si la proposition qu'Oracle vient de faire est acceptée, la supervision des standards techniques de Java passerait sous l'égide d'un seul comité, alors que l'actuel système s'appuie sur deux entités séparées pour Java EE/SE (Enterprise Edition/Standard Edition) et pour Java ME (Micro Edition). Les deux premières déclinaisons concernent respectivement les environnements serveurs et postes de travail, tandis que ME est destinée à ses utilisations mobiles et embarquées.
Oracle a récupéré la propriété de Java en rachetant Sun Microsystems en janvier 2010, mais les spécifications techniques standards du langage de programmation Open Source sont toujours guidées par le JCP (Java Community Process), une organisation constituée d'entreprises et d'individus ayant un intérêt particulier pour Java. Oracle justifie sa proposition en évoquant les changements sur le marché de Java ME, la maturité croissante de ce dernier et, de façon générale, sa consolidation. « Cela suggère qu'un rééquilibrage entre Java ME et les autres plateformes pourrait être approprié, ainsi qu'une légère réduction du nombre de membres du comité exécutif », a indiqué la semaine dernière sur le site du JCP le collaborateur d'Oracle qui préside l'organisation, Patrick Curran. « La convergence attendue entre Java ME et SE devrait rendre de moins en moins pertinente l'actuelle séparation entre deux comités exécutifs séparés », ajoute-t-il. « Dans la mesure où Java est vu comme une seule plateforme, il devrait être supervisé par un comité exécutif unique».
Un nombre réduit de membres au comité exécutif
La proposition d'Oracle entraînerait la réduction du nombre total de membres du comité (32 actuellement), mais elle prévoit de maintenir le ratio 2 pour 1 de sièges nommés et élus, si l'on se réfère au site du JCP. « Dans le comité exécutif fusionné, pas plus Oracle qu'aucun autre membre ne pourra détenir plus d'un siège » peut-on lire. La JSR (Java Specification Request) est supervisée par un groupe expert constitué de représentants de différentes entreprises, incluant Oracle, IBM, Intel et Siemens. Son travail devrait durer six mois environ, « afin de permettre aux modifications d'être engagées pendant les élections ». Ce groupe reconnaît toutefois que les changements pourraient devoir être introduits progressivement dans le temps ».
Dans un souci d'équité, tous les membres auront le même risque de perdre leur siège. Il est aussi précisé dans la proposition qu'Oracle « devrait avoir la plus grande flexibilité dans la réallocation des sièges de membres nommés pour assurer que le comité exécutif fusionné représente de façon adéquate et équitable l'ensemble de l'écosystème Java ».
Une autre proposition, sans doute plus polémique
Cette proposition est la deuxième de trois mesures exposées par Patrick Curran dans un billet de blog en août dernier. La première, adoptée l'an dernier, a cherché à rendre le processus de spécification plus transparent et public (le comité exécutif publiait déjà ses comptes-rendus de réunion). La troisième n'a pas encore été soumise. Elle abordera des changements plus complexes, a indiqué Patrick Curran, parmi lesquels des modifications possibles du JSPA (Java Specification Participation Agreement), l'accord spécifiant le mode de fonctionnement du JCP. Compte tenu de l'histoire récente, cette proposition est susceptible de générer des controverses. La Fondation Apache a quitté le JCP fin 2010 à la suite d'un désaccord avec Oracle concernant le JSPA. L'ASP (Apache Software Foundation) maintient qu'Oracle n'a pas réussi à lui fournir une licence acceptable pour un kit de compatibilité technologique (TCK) qui lui aurait permis de tester son projet Harmony, une mise en oeuvre de Java SE, ainsi que le garantit le JSPA.
Test logiciel : Sogeti livre une boîte à outils TMap sur iOS et Android
Les spécialistes du test et de la qualité des logiciels disposent avec TMap Life Cycle d'une application mobile pour iOS et Android leur permettant de suivre la progression de leurs projets au long du processus de contrôle. TMap Life Cycle est mis à disposition gratuitement par Sogeti sur l'App Store et l'Android Market. La méthodologie de gestion de test logiciel structurée TMap (Test Management Approach) a été créée par Sogeti Pays-Bas il y a une vingtaine d'années. Une méthode fondée sur le « risk-based testing » qui convient à tout type d'organisation et à toutes situations de test dans la plupart des environnements de développement, explique Sogeti sur son site.
L'application mobile pour Android, iPhone, iPod Touch et iPad décrit les différentes phases de TMap Life Cycle et propose de télécharger des checklists et des modèles supportant le processus TMap. Elle comporte des vidéos de démonstration de conception des tests, l'analyse de risque produit et des méthodes pour déterminer des stratégies de test, décrit la SSII. Elle donne aussi accès au téléchargement d'e-Books et de livres blancs. Autant de contenus spécialisés mis ainsi à portée de main des professionnels du test.
La version Android de TMap Life Cycle
SQL Server 2012 , lancement prévu le 7 mars 2012
Comme l'a annoncé Microsoft, le lancement de sa base de données de prochaine génération SQL Server 2012 aura lieu le 7 mars lors d'un événement retransmis en ligne. Sont attendues les allocutions des vice-présidents Ted Kummert Ted et Quentin Clark qui livreront aux participants la vision de Microsoft en matière de montée en charge des bases de données, ainsi qu'un aperçu général sur les fonctionnalités de SQL Server 2012.
Le communiqué ne permet pas de savoir si le 7 mars correspond aussi à la date de disponibilité réelle et générale du produit. Mais la tenue de cet événement laisse penser que sa livraison pourrait être imminente. « Regardons la réalité : si vous n'êtes pas en train de travailler sur la version bêta d'un logiciel ou sur le point de faire des tests d'une version build privée en situation réelle ou d'une Release Candidate, vous ne ferez pas partie de ceux qui installeront et déploieront SQL Server 2012 le 7 mars, je vous l'affirme, » a écrit dans un blog Aaron Bertrand, expert de SQL Server. « Ces événements font partie des techniques marketing pour créer de l'attente et de l'excitation autour d'un produit. Est-ce que vous pourrez télécharger les éditions Express sur le site Web de Microsoft, et autres SKU sur le portail Microsoft Developer Network (MSDN) ou depuis votre portail de licences, peu de temps après ? Bien sûr. Et le jour d'après ? À peu près sûr que non. »
3 éditions pour SQL Server 2012
SQL Server 2012 se décline en trois éditions principales, dont une nouvelle version Business Intelligence plutôt destinée aux décideurs, qui donnera accès à toutes les fonctionnalités d'analyse décisionnelle. Celle-ci qui ajoute à l'édition standard l'outil Power View, qui permet une analyse visuelle et interactive des données, et l'outil Data Quality Services & Master Data Management qui garantit la qualité des données. Cette version offre aussi les mêmes fonctions de reporting et d'analyses que celles de la version Standard, et supporte le traitement de très gros volumes de données. Microsoft prévoit également de proposer une version Entreprise, plutôt destinée aux grands comptes qui ont des besoins de haute disponibilité et de Data Warehouse. Cette mouture offre une fonction haute disponibilité (AlwayOn), une fonction Haute performance pour le Data Warehouse (ColumnStore), et enfin la virtualisation (avec la Software Assurance). A noter que la version Entreprise inclut toutes les fonctionnalités de la version Business Intelligence.
Microsoft va aussi adopter un nouveau mode de licences pour la version 2012. Le modèle de licence par puissance de calcul change puisqu'il sera fonction du nombre de coeurs et non plus du nombre de processeurs. Les éditions Enterprise et Standard seront ainsi disponibles avec le modèle de licence basé sur les coeurs. Les licences seront vendues par pack de deux coeurs. L'édition Standard sera également disponible sous le modèle de licence Serveur + Client Access Licence (CAL). Quant à l'édition BI, elle est uniquement disponible sous licence Serveur + CAL. Selon l'analyste Curt Monash de Monash Research, SQL Server « est un produit adapté si l'on n'a pas peur d'être enfermé dans la pile Microsoft. » Par exemple, « la fonction ColumnStore est très partielle, étant donné qu'elle ne peut pas être mise à jour. Mais, a contrario, Oracle n'offre pas de stockage en colonnes du tout. »
Un mode de licensing basé sur le nombre de coeurs CPU
« Il y a plus de lock-in avec SQL Server qu'avec d'autres plateformes, du fait que celui-ci doit fonctionner sous Windows, » ajoute l'analyste. « Les départements informatiques qui utilisent des produits concurrents, comme ceux proposés par Oracle notamment, pourraient envisager de faire cohabiter SQL Server 2012 avec leur plateforme plutôt que d'ajouter plus de licences Oracle, mais cela n'aurait de sens que s'ils ont déjà beaucoup investi dans la pile Microsoft, » explique Curt Monash. « IBM DB2 fonctionne aussi bien avec Oracle que pourrait le faire SQL Server, et cela sans avoir besoin de s'engager avec un système d'exploitation, » a-t-il déclaré.
« De toutes les façons, aucune base de données ne peut servir toutes les charges de travail de manière égale. La meilleure approche est de disposer d'un produit à usage général et de le compléter par des plates-formes de bases de données pour les fonctions analytiques et autres, » a ajouté l'analyste.
(...)(24/01/2012 12:13:41)Ruby on Rails passe en version 3.2
Ruby on Rails est un framework Open Source, lancé en 2004, pour la création d'applications web basées sur le langage de développement Ruby. Aujourd'hui, la plateforme évolue vers la version 3.2. Un des principaux atouts est l'amélioration du mode développement. David Heinemeier Hansson, créateur de Ruby on Rails, explique dans un blog, « l'accélération du mode dev est une étape majeure depuis la version 3.1 [qui est sortie en août 2011] ». Cela signifie qu'à chaque fois qu'un programme est modifié, puis testé, le mode dev ne recharge que les classes réellement modifiées. «La différence est spectaculaire sur une grosse application », précise David Heinemeier Hansson.
Marqueur et moteur de routage intégré
La fonctionnalité « tagg loader » est aussi une innovation de la version 3.2. Il s'agit de marqueurs pour savoir si Ruby on Rails est utilisé pour exécuter plusieurs applications ou s'il lance une application pour plusieurs utilisateurs. Avec ce script, un administrateur peut filtrer les fichiers log, juste pour voir l'activité d'une application ou d'un utilisateur spécifique. Une autre fonctionnalité permet d'annoter les requêtes - qui peuvent aider au débogage - et la version 3.2 intègre un moteur de routage, appelé Journey, pour accélérer les réponses aux demandes des navigateurs web.
Au moins 226 000 sites utilisent Ruby on Rails, selon le service australien BuiltWith analyse des tendances Pro. Dans l'enquête de TIOBE sur les langages, publiée en Janvier, l'utilisation de Ruby semble avoir légèrement reculé.
(...)
DynamoDB, une base de données NoSQL sur Amazon Web Services
Amazon Web Services a lancé hier, sous le nom de DynamoDB, un service de base de données NoSQL qui procure à ses utilisateurs une performance prévisible sur des capacités évoluant de façon transparente. Ce service, en version bêta, conviendra aux acteurs du web qui récupèrent, stockent et traitent un volume croissant de données. L'hébergeur explique qu'avant la mise à disposition d'une base évolutive de ce type, les utilisateurs d'AWS pouvaient passer beaucoup de temps à préparer leurs bases pour qu'elles tiennent le choc dans les périodes d'intense utilisation. En effet, les SGBD traditionnels ne sont pas conçus pour se dimensionner aussi rapidement.
« L'ajustement et la gestion des bases de données a toujours été le talon d'Achille des applications web », rappelle Werner Vogels, directeur technique d'AWS. Pour monter en puissance, les entreprises avaient le choix entre acquérir un matériel plus important ou répartir les bases de données entre les serveurs, explique-t-il. « Ces deux approches étaient de plus en plus compliquées et coûteuses », poursuit-il. « De surcroît, il y a une pénurie de profils techniques ayant les compétences spécialisées pour le faire ».
Le service Amazon DynamoDB stocke les données sur des disques SSD et les réplique sur différentes zones de disponibilité du service. Amazon Web Services l'a conçu en s'appuyant sur son expérience de la construction de grandes bases de données non relationnelles pour Amazon.com. Le site de vente en ligne l'utilise en interne sur sa plateforme publicitaire, ainsi que sur Amazon Cloud Drive (son service de stockage de musique en ligne), IMDb (Internet Movie Database, sabase de données sur le cinéma) et pour son offre Kindle. D'autres sociétés, comme Elsevier, SmugMug et Formspring, y ont également recours.
Une architecture redondante et massivement élastique, souligne Ysance
Les tarifs de DynamoDB sont pour l'instant donnés pour l'Amérique du Nord. Le service démarre avec un niveau d'accès gratuit offrant jusqu'à 100 Mo de stockage et une capacité en lecture/écriture de 5 écritures et 10 lectures par seconde. Les tarifs d'exploitation sont calculés en fonction d'un forfait horaire basé sur le débit réservé, sur la capacité de données stockées et sur le volume de données transféré. Quand un utilisateur crée sa table DynamoDB, il spécifie quelle capacité il veut réserver en lecture/écriture. Si le débit dépasse la capacité réservée, il peut être limité. Néanmoins, la console de gestion fournie par AWS permet facilement de procéder à des modifications, en fonction des changements de trafic anticipés, explique AWS sur son site.
Partenaire d'AWS en France, l'intégrateur Ysance pointe une avancée sur le plan technique. « Amazon DynamoDB offre à la fois une base de données de type Clé/Valeurs très performante, une architecture redondante, massivement élastique et une intégration native avec l'analytique » dans le cadre d'une offre simple et packagée, commente dans un communiqué Olivier Léal, co-directeur de la division Intégration de la société. Il considère aussi qu'AWS crée un nouveau modèle en proposant désormais un niveau de performance fonctionnelle et non plus une capacité de traitement. Avec ce service, c'est AWS qui « dimensionne l'infrastructure en fonction des besoins du client et non l'inverse », souligne Olivier Léal. (...)
Android 4.0 est disponible pour la TouchPad de HP
Ice Cream Sandwich s'invite officiellement sur la TouchPad de HP. CyanogenMod est un groupe de développeurs qui s'est créé après l'annonce de l'abandon par le constructeur de la fabrication des tablettes. Il a présenté publiquement CM9 (CyanogenMod9) en version Alpha qui porte Android 4.0 sur la TouchPad. Les indications Alpha 0 montre que certaines fonctionnalités ne sont pas prises charge, comme la gestion des codes vidéos ou la caméra.
Il s'agit néanmoins de la première version issue de la décision de Google de rendre disponible le code source d'Android 4.0. Les développeurs de Cyanogen appellent donc d'autres programmeurs à améliorer ce portage et à corriger les bugs existants.
Pour les novices en informatique, il faudra attendre un peu pour avoir une version stable de la solution de migration. Pour les technophiles, ils peuvent retrouver les informations à télécharger et la documentation pour l'installation sur le site Rootzwiki.
(...)
Faille critique dans Oracle Database : un patch à appliquer d'urgence
Ces deux derniers mois, nos confrères d'InfoWorld (du groupe IDG, un actionnaire du Monde Informatique), ont mené des recherches sur une vulnérabilité dans le logiciel phare d'Oracle, Database, qui pourraient avoir de graves répercussions pour les clients de l'éditeur, et potentiellement compromettre la sécurité et la stabilité des systèmes reposant sur la célèbre base de données.
Généralement, quand un bug se produit suite à une défaillance dans une base de données, les systèmes affectés peuvent être restaurés à partir des sauvegardes. Mais comme InfoWorld nous l'explique dans son enquête, un ensemble de problèmes techniques pourrait entrainer des défaillances à répétition dans la base de données d'Oracle et demander du temps et des efforts considérables pour corriger les erreurs. Selon une source qui a préféré rester anonyme, « C'est un problème très sérieux pour nous. Nous passons beaucoup de temps et dépensons beaucoup d'argent pour surveiller, planifier, et régler le problème dès qu'il se produit. »
Une enquête longue et minutieuse
Avant de rapporter ce problème, nos confrères ont effectué leurs propres tests, recoupé leurs informations avec des sources jugées fiables, et discuté à de nombreuses reprises avec Oracle, qui a reconnu qu'InfoWorld avait attiré son attention sur les aspects sécuritaires de ce problème. « Après avoir informé Oracle de nos découvertes et suite à plusieurs discussions techniques, l'éditeur nous a demandé de retenir cette information le temps de développer et de tester les correctifs relatifs à ces vulnérabilités. Dans l'intérêt des utilisateurs d'Oracle, nous avons accepté. Ces patches sont disponibles dans les mises à jour qu'Oracle a publiées au mois de janvier 2012 », expliquent nos confrères d'Infoworld qui ont réalisé un travail remarquable.
Pour être clair, l'aspect sécuritaire de la faille fait que n'importe quel client utilisant la version non patchée de la base de données d'Oracle pourrait être victime d'attaques malveillantes. Pire encore, un autre aspect, plus fondamental, pourrait poser un risque particulier pour les plus grands clients d'Oracle utilisant des bases de données interconnectées. Les deux problèmes proviennent d'un mécanisme ancré en profondeur dans le moteur de la base de données d'Oracle, avec lequel la plupart des DBA ont rarement à faire dans leur quotidien. Le coeur du problème réside dans le SCN (System Change Number), un système d'identification interne qui attribue un numéro à chaque validation de transaction : insertions, mises à jour et suppressions. Ces numéros sont attribués de manière séquentielle - sur une base temps - donc sans retour en arrière - lors de chaque modification de la base de données : insertions, mises à jour et suppressions. Le SCN est également incrémenté lors des échanges entre plusieurs SGBD liés.
Une vulnérabilité dans l'horloge interne de Database
Le SCN est crucial pour le fonctionnement de la base de données Oracle. « L'horodatage » SCN est la fonction clef pour maintenir la cohérence des données en permettant au SGBD de répondre aux requêtes de chaque utilisateur avec la version appropriée des données. Le SCN joue également un rôle important dans la consistance de la base de données car toutes les opérations de restaurations se font à partir de cet index.
Lorsque des bases de données Oracle sont reliées les unes aux autres, le maintien de la cohérence des données impose une synchronisation dans un SCN commun. Les architectes qui ont développé l'application phare d'Oracle étaient bien conscients que les SCN allaient générer un très grand nombre de numéros et ont donc intégré un générateur sur 48 bits. Soit 281 474 976 710 656 numéros attribuables. Il faudrait donc une éternité pour qu'une base de données Oracle épuise cette matrice pensez-vous ! Ajoutons qu'Oracle avait imposé une limite souple pour garantir qu'à un instant donné la valeur d'une clef SCN ne soit pas déraisonnablement élevée, ce qui indiquerait un dysfonctionnement de la base de données. Si la limite est dépassée, cette dernière peut devenir instable et / ou indisponible. Et parce que la numérotation du SCN ne peut pas être descendue ou remise à zéro, la base de données ne peut pas être restaurée à partir d'une sauvegarde. Une analogie peut être faite avec le bug de l'an 2000 sur un système non patché.
[[page]]
La limite imposée par Oracle découle d'un calcul très simple avec un seuil ancré dans le temps il y a 24 ans. Prenez le nombre de secondes depuis le 01/01/1988 à 00:00:00 et multipliez ce chiffre par 16 384. Si la valeur actuelle du SNC est inférieure à cela, alors tout va bien et le traitement continue normalement. Pour mettre cela en termes simples, le calcul suppose qu'avec une base de données fonctionnant en permanence depuis le 01/01/1988, il est impossible dans la réalité d'arriver à 16 384 transactions par seconde.
Mais il est toujours possible de modifier les conditions de cette réalité pour repousser la limite du SNC.
Le bug de sauvegarde
Un exemple récent vient sous la forme d'un bug de la base de données Oracle avec la fonction qui assure les sauvegardes live. Elle permet à un administrateur d'exécuter une commande afin de faciliter la sauvegarde d'une base de données en direct. C'est une fonction très pratique qui peut être exécutée facilement : «ALTER DATABASE BEGIN BACKUP » est la commande dont vous avez besoin. Vous pouvez ensuite sauvegarder la base jusqu'à ce que vous saisissiez la commande « ALTER DATABASE END BACKUP» qui switche sur le mode de fonctionnement normal. Un moyen très simple pour un administrateur de faire des sauvegardes de ses bases de données en production.
Le problème est que, en raison d'un codage défaillant, la commande «BEGIN BACKUP » entraine un bond spectaculaire du SCN qui continuera d'augmenter à un rythme effréné même après la saisie de la commande « END BACKUP » . Ainsi, effectuer une sauvegarde à chaud peut augmenter de plusieurs millions ou mêmes milliards la valeur du SCN. Dans la plupart des cas, les limites du SCN sont si éloignées que ce saut occasionnel n'est pas une cause de préoccupation majeure. Il est même certain que bien peu d'administrateurs ont remarqué le problème.
L'interconnection des bases multiplie l'effet du bug SCN
Mais quand vous mélangez le bug de sauvegarde live avec un grand nombre de bases de données interconnectées dans une mise en oeuvre massive de la plate-forme d'Oracle, la combinaison peut entraîner une élévation énorme du SCN. Certains grands clients d'Oracle ont des centaines de serveurs exécutant des centaines d'instances Database interconnectées dans toute l'infrastructure. Chacun peut être chargé avec un service de base et quelques fonctions moins importantes - mais presque tous sont reliés entre eux, à travers un, deux, quatre ou plus de serveurs intermédiaires.
Avec tous ces serveurs interconnectés, les SCN se synchronisent à un moment ou un autre. Collectivement, ils pourraient dépasser les 16 384 transactions par seconde, mais certainement pas depuis le 01/01/1988, donc la limite SCN n'est pas dépassée. Mais que faire si une DBA sur une partie de ce réseau Oracle gère la sauvegarde live et déclenche le précédent bug ? Soudain, le SCN fait un bond de, disons 700 millions, et ce nombre devient bientôt la référence pour tous les SCN interconnectés sur le réseau. Quelque temps plus tard, une autre commande de sauvegarde live est enclenchée par un DBA de l'autre côté de l'entreprise. Le SCN pousse jusqu'à quelques centaines de millions cette fois-ci, également synchronisé sur toutes les instances reliées au fil du temps.
Avec l'émission de quelques commandes de sauvegarde, le SCN d'un groupe de bases de données Oracle peut augmenter de plusieurs centaines de millions, voire de centaines de milliards dans une courte période. Même les SGBD qui se relient occasionnellement, par semaine ou par mois, pourraient voir leur nombre SCN bondir de plusieurs milliards.
Dans un tel scénario, ce n'est qu'une question de temps pour que les commandes de sauvegarde dépassent la limite du SCN et entrainent des problèmes très sérieux, blocage des requêtes provenant d'autres serveurs, ou plantages tout simplement.
[[page]]
Oracle a publié un correctif pour le bug du SCN lors des sauvegardes avant que l'équipe d'InfoWorld commence à enquêter sur cette histoire. Le bug de sauvegarde est répertorié comme le 12371955 : « croissance élevée du SCN ALTER DATABASE BEGIN BACKUP dans 11g. » Si vous n'avez pas déjà installé ce patch, Oracle recommande une installation immédiate.
Jusqu'à récemment, en dehors de la correction du bug de sauvegarde, la seule réponse d'Oracle à la question de la limite du SCN - pour autant que nous avons été en mesure de déterminer - a été de publier un patch qui étend le calcul de SCN à 32 768 fois le nombre de secondes depuis le 01/01/1988, doublant ainsi la taille de la limite. Oracle a même rendu modifiable cette limite, les administrateurs peuvent encore augmenter le multiplicateur. Si ce patch est appliqué à une instance d'Oracle, il va alléger le problème du SCN. Toutefois, il introduit aussi de nouvelles variables.
Impossible de patcher tous les serveurs en même temps
Une partie du problème est que vous ne pouvez pas mettre à jour tous les systèmes en même temps. De plus, si vous avez un système patché avec une limite d'élévation - basé sur un multiplicateur de, disons, 65 536 - le SCN sur ce système pourrait être plus élevé que le SCN sur un système non patché utilisant le multiplicateur de 16 384 d'origine. Le système non patché pourrait donc refuser la connexion. Il y a aussi la question des serveurs exécutant d'anciennes versions d'Oracle qui ne bénéficieront pas de correctif.
Par ailleurs, si ce patch est inclus par défaut dans la prochaine version d'Oracle Database, les administrateurs vont peut-être soudainement découvrir que leurs anciens serveurs sont incapables de communiquer avec les serveurs dotés de la version bénéficiant d'une méthode de calcul plus élevée pour le SCN. Pire, ils pourraient s'aligner sur les nombres du nouveau système de calcul, mais en gardant leur limite d'origine. Comme mentionné précédemment, le risque d'un tel scénario est très faible, sauf dans les environnements hautement interconnectés où un SCN élevé peut plomber un serveur à la manière d'un virus. Et une fois le serveur infecté, il n'y a aucun retour en arrière possible. Aussi, si le SCN est incrémenté arbitrairement - ou manuellement, avec une intention malveillante - alors la limite des 48 bits ne sera pas aussi astronomique qu'on le pensait au début de ce papier.
Un point préoccupant pour les utilisateurs
La rédaction d'InfoWorld a contacté des utilisateurs américains de la base de données d'Oracle pour parler de ce problème. Plusieurs de ces interlocuteurs n'étaient pas familiers avec le sujet; d'autres ont indiqué que les accords de licences Oracle les empêchent de faire des commentaires sur tout aspect de leur utilisation des produits de l'éditeur. Le chef de l'Independent Oracle User Group (IOUG), Andy Flower, a simplement indiqué au sujet de ce dossier: « Ce bug avec les numéros du SCN est évidemment un point qui préoccupe nos membres. Je suis sûr que ce sera un sujet que certains de nos membres les plus importants aborderont. Ils vont se réunir et en discuter. »
Parmi les experts Oracle, nos confrères d'Inforworld ont rencontré Shirish Ojha, senior DBA Oracle pour Logicworks, un fournisseur de services en ligne de type cloud. Il était bien sûr informé des problèmes du SCN, et notamment du bug de la numérotation. Il reconnaît que quelques environnements Oracle sont susceptibles de rencontrer le problème, et que les conséquences peuvent être graves. « S'il y a un bond spectaculaire dans les SCN en raison d'un bug Oracle, il y a une probabilité minimale de rupture si ce nombre devient anormalement élevé », a déclaré M. Ojha, qui a obtenu le très convoité titre d'Oracle Certified Master. « Si cela se produit pendant des transactions intensives sur une grande architecture interconnectée, cela va rendre toutes les bases de données interconnectées Oracle inutiles dans un laps de temps très court. »
M. Ojha poursuit : « Si cela se produit, même si la probabilité reste faible, le potentiel de perte [financière] ... est très élevé. » Par définition, dit-il, le problème peut potentiellement uniquement affecter tous les grands clients d'Oracle. Mais « une fois la limite SCN atteinte, il n'existe pas d'autre moyen de sortir du problème, que de fermer toutes les bases de données et de les reconstruire à partir de zéro. »
[[page]]
Anton Nielsen, le président C2 Consulting et expert Oracle, a évalué le risque potentiel d'attaque malveillante utilisant un SCN élevé: « En théorie, l'attaque SCN élevée est similaire à une attaque DoS de deux manières significatives : Il peut mettre un système à genoux, le rendant inutilisable pour une période de temps significative, et il peut être accompli par un utilisateur avec des autorisations limitées. Alors qu'une attaque DoS peut être perpétrée par n'importe qui avec un accès réseau à un serveur web, la modification du SCN nécessite un accès à la base de données via un nom d'utilisateur et un mot de passe. »
La réaction d'Oracle
Lorsque nos confrères d'Infoworld ont contacté Oracle au sujet du SCN, Mark Townsend, vice-président en charge des bases de données, a demandé un peu de temps pour évaluer le problème. « La façon dont vous mettez ces [questions] ensembles ne ressemble à rien de ce que nous avons vu ... nous avons besoin de comprendre ce que vous avez fait pour élever de plusieurs milliards le SCN. »
Après de nombreuse discussions et l'échange de données techniques, Oracle a reconnu qu'il y avait plusieurs façons d'augmenter le SCN à volonté. Se référant à une de ces méthodes, M. Townsend a déclaré : « C'est une situation irrégulière, un paramètre caché, il n'a jamais été prévu que les clients le découvrent et l'utilisent. » Toutefois, nos confrères ont souligné qu'il y avait plusieurs autres méthodes qui pourraient être utilisées. Elles ont bien sûr été détaillées à Oracle.
Des correctifs disponibles depuis janvier 2012
Pour corriger ces vulnérabilités, Oracle a publié une série de patchs présents dans sa mise à jour de janvier (Oracle Critical Patch). Ces correctifs bloquent les différentes méthodes qui permettent d'augmenter artificiellement la numérotation du SCN et mettent en oeuvre une nouvelle méthode de protection, ou «l'inoculation», comme le dit M. Townsend, pour les bases de données Oracle.
Nos collègues n'ont pas eu le temps de tester exhaustivement ces correctifs, ils ne savent donc pas encore ce que cache le terme «inoculation». En fait, sans de nombreux tests, il est pour l'instant impossible de fournir plus de détails sur les moyens de bloquer la hausse de la numérotation du SCN lorsque plusieurs bases de données sont interconnectées.
Ces correctifs sont seulement disponibles pour les récentes versions du SGBD de l'éditeur : Oracle 11g 11.1.0.7, 11.2.0.2, et 11.2.0.3, ainsi qu'Oracle 10g 10.1.0.5, 10.2.0.3, 10.2.0.4 et 10.2.0.5. Les versions plus anciennes continueront d'être affectées. Étant donné le grand nombre d'installations de licences Oracle 11.2.0.2.0 et 10.1.0.5, une importante base installée restera vulnérable.
Les prochaines étapes
La prochaine étape pour les administrateurs de SGBD Oracle est d'inspecter les valeurs SCN de leurs bases de données. Par la suite, l'application du patch de sauvegarde live est cruciale, comme le sont les patchs de suivi qui traitent de la capacité d'augmenter arbitrairement la valeur du SCN via les commandes d'administration. Cependant, puisque des correctifs existent pour les nouvelles versions de la base de données, il doit certainement y avoir un moyen de moderniser les anciennes bases de données pour régler le problème.
Il est également essentiel que les administrateurs DBA évitent soigneusement de connecter des serveurs Oracle non patchés à d'autres bases de données Oracle au sein de leur infrastructure. Ce sera un vrai défi pour toutes les entreprises qui utilisent des versions différentes d'Oracle DBA, mais c'est indispensable pour éviter une corruption du SCN.
Tous les commentaires et les témoignages des spécialistes de la base de données d'Oracle sont les bienvenus.
| < Les 10 documents précédents | Les 10 documents suivants > |