*Le triangle de Penrose, aussi appelé « triangle impossible », est une illusion d’optique fascinante imaginée dans les années 1950 par le mathématicien Roger Penrose.

À première vue, il semble représenter un objet tridimensionnel cohérent, alors qu’il est en réalité géométriquement impossible à construire dans le monde réel.

Cette figure a profondément marqué l’univers de l’art, notamment celui de M. C. Escher, qui s’en est inspiré pour créer ses fameuses œuvres aux perspectives paradoxales.

Vu sous un angle bien précis, ce trompe-l’œil trompe littéralement notre cerveau, nous faisant croire à l’existence d’un objet solide et continu.*

"Daniel Stenberg, le papa de curl (oui le truc qui tourne sur vos frigos connectés, vos voitures, vos satellites et probablement votre ex qui n'a vraiment pas de coeur), a publié un post assez édifiant sur la sécurité de la chaîne d'approvisionnement logicielle, et spoiler : la liste de ce qui pourrait mal tourner est suffisamment longue pour ruiner définitivement votre confiance en tout.

On y parle de Jia Tan (le fantôme de XZ), de contributeurs blackmailés, de mirrors "temporaires" infectés, de deepfakes d'un committer bien connu qui vous explique que "ouais t'inquiète le patch il est bon" et de CI hébergées dans le cloud qui se font compromettre. Bref, le catalogue complet du cauchemar d'un mainteneur, avec la cerise sur le gâteau : tout ça peut arriver en même temps.

La réponse de Daniel ? Vérifier. Tout. Toujours. Deux cents jobs CI par commit, valgrind, sanitizers, fuzzing continu via Google OSS-Fuzz, 2FA obligatoire, zéro blob binaire, zéro Unicode chelou dans le code et une politique d'ABI tellement stable qu'elle est devenue une religion. Une page dédiée vient même d'être ajoutée au site de curl pour que n'importe qui puisse vérifier que ce qu'il télécharge est bien ce qui a été signé.

Morale de l'histoire : curl tourne depuis 30 ans parce que quelqu'un fait vraiment son boulot, pendant que nous, on ship en prod sans lire les diffs."