mercredi 24 juin 2026

Digest court

Rien de neuf à signaler côté Angular, et c'est cohérent avec le cycle. La v22 est en GA depuis fin mai (Signal Forms, Selectorless, httpResource, zoneless par défaut) et l'écosystème consolide. Le blog officiel n'a publié que des newsletters communautaires depuis le 19 juin, sans release ni breaking change. Le seul vrai mouvement récent — TypeScript 7.0 RC et son compilateur natif en Go — a déjà été traité le 23 juin. Pas de _detail.md aujourd'hui : aucun sujet ne mérite un mini-cours qui ne soit pas un doublon.

Top 1 — État de l'écosystème

• Pas de nouvelle version : v22 stable, pas de RC v23 ni de patch notable cette semaine.
• Blog officiel : uniquement des newsletters (Dynamic Components, Signal Forms, AI code quality) — rien d'actionnable côté code.
• À surveiller : adoption de TypeScript 7.0 (déjà couvert le 23/06) et stabilisation post-GA des Signal Forms.

Journée volontairement légère : mieux vaut une synthèse honnête qu'un sujet gonflé ou redondant.

Digest court

Semaine calme côté plateforme : pas de nouvelle preview après .NET 11 Preview 5 (9 juin) ni de servicing après les correctifs de juin, et EF Core 11.0 stable reste calé pour novembre 2026. Le mouvement du moment est l'outillage agentique appliqué au quotidien .NET. Microsoft pousse le Binlog MCP Server, qui ouvre les binary logs MSBuild à un agent IA pour diagnostiquer un build en langage naturel. Rien d'urgent à patcher aujourd'hui ; le sujet du jour est un gain de productivité concret sur le débogage de build.

Top 1 — Diagnostiquer ses builds via MCP

• Binlog MCP Server (préversion) : serveur Model Context Protocol qui expose un .binlog à Copilot via 15 outils — requête d'erreurs avec contexte, traçage d'origine de propriété, targets les plus lents, comparaison de deux builds.
• Génération : dotnet build /bl produit le log ; le serveur (baronfel.binlog.mcp sur NuGet) le parse pour l'agent.
• Vigilance : préversion, télémétrie active par défaut (DOTNET_CLI_TELEMETRY_OPTOUT=1).

→ Analyse complète : 2026-06-24_detail.md

Digest court

Journée dense côté agents open-weight. Qwen publie Qwen-AgentWorld, premiers « language world models » qui simulent un environnement agentique sur 7 domaines — poids et benchmark ouverts, et le 397B passe devant GPT-5.4. IBM Research sort CUGA, un harness d'agent où tu n'écris qu'une liste d'outils et un prompt, illustré par deux douzaines d'applis FastAPI mono-fichier. Hugging Face montre comment trier les PR d'un gros dépôt avec Gemma/Qwen en local, structured outputs et shell en lecture seule à l'appui. Fil rouge du jour : sortir le frontier agentique du cloud propriétaire vers du local gouverné.

Top 3 — Agents open-weight, du modèle au harness

• Qwen-AgentWorld 35B-A3B / 397B-A17B : world models textuels qui prédisent l'état suivant d'un environnement (MCP, Terminal, SWE, Web…) ; 58,71 sur AgentWorldBench, devant GPT-5.4.
• CUGA (IBM) : harness pip install cuga qui porte planification, réflexion et état ; tu fournis outils + prompt, il tourne même sur gpt-oss-120b.
• Triage local de PR : Gemma 4 et Qwen3.6 classent les issues d'OpenClaw via final_json, avec reposhell (lecture seule) contre l'injection de prompt.

Thème transverse : la simulation d'environnement et le harness déplacent la charge du modèle vers l'outillage, ce qui rend les petits modèles ouverts viables en production.

→ Analyse complète : 2026-06-24_detail.md

Digest court

L'actu sécurité du jour n'est pas une CVE à patcher mais une attaque sur la chaîne logicielle SaaS. Le groupe d'extorsion Icarus a compromis Klue, plateforme d'intelligence marché intégrée à Salesforce, et volé les tokens OAuth de ses clients. Avec ces jetons, il a aspiré les données clients de LastPass dans Salesforce — sans toucher aux produits ni aux coffres LastPass, et sans déclencher de MFA. La même brèche touche HackerOne, Snyk, Tanium, Jamf, OneTrust et d'autres. Le signal : ton risque se déplace vers les intégrations tierces auxquelles tu as délégué un accès OAuth.

Top 1 — Vol de tokens OAuth via un intégrateur SaaS

• Vecteur : compromission de Klue → vol des refresh tokens OAuth reliant les Salesforce clients ; l'attaquant appelle l'API « au nom de Klue », MFA contourné.
• Impact LastPass : noms, téléphones, e-mails, adresses, contenu des tickets de support exposés ; coffres non touchés.
• Parade : révoquer la connected app, faire tourner tous ses tokens, auditer les scopes des intégrations et appliquer le moindre privilège.

→ Analyse complète : 2026-06-24_detail.md