jeudi 25 juin 2026

Digest court

Journée calme côté Angular : le blog officiel n'a rien publié de neuf depuis la newsletter communautaire #14 du 19 juin, et l'écosystème digère encore la GA d'Angular v22 (3 juin). Pas de release, pas de breaking change dans les dernières 48 h. L'actualité reste pédagogique et communautaire, centrée sur Signal Forms et la préparation au zoneless. Pas d'analyse détaillée aujourd'hui — fidèle au principe « moins de bruit, plus de densité » : on ne gonfle pas une journée creuse.

Top — À surveiller côté communauté

• Signal Forms en conditions réelles : validators asynchrones + debouncing pour ne pas noyer ton backend d'appels API.
• Listes dynamiques avec Signal Forms : patterns de champs répétables, walkthrough vidéo communautaire.
• Migration control flow : guide pas à pas pour passer des directives structurelles legacy à @if/@for.

Pas de _detail.md aujourd'hui (catégorie calme). Le sujet de fond récent — TypeScript 7.0 RC, le compilateur natif Go devenu tsc officiel — a déjà été traité le 23 juin.

Digest court

Semaine de consolidation côté .NET : pas de nouvelle preview ni de breaking change dans les dernières 48 h. Le servicing de juin, .NET 11 Preview 5, Aspire 13.4 et le Binlog MCP Server ont déjà été traités. Le sujet utile du jour est plus discret mais concret pour les projets mobiles : Material 3 (Material You) pour .NET MAUI sur Android atteint une couverture sérieuse avec la service release 10.0.60 (SR6). Une propriété MSBuild suffit à moderniser l'UI Android sans refonte XAML.

Top 1 — .NET MAUI Material 3 sur Android

• <UseMaterial3>true</UseMaterial3> : opt-in en une ligne, à conditionner au TFM -android.
• Dynamic color : la palette dérive du thème/fond système (le « You » de Material You).
• Contrôles couverts en SR6 : Button, Entry, SearchBar, DatePicker, Slider, ProgressBar, ImageButton, Switch, theming Shell — Android uniquement.

→ Analyse complète : 2026-06-25_detail.md

Digest court

Journée calme côté LLM : pas de gros modèle de langage nouveau dans les dernières 48 h, le trending Hugging Face reste dominé par des sorties déjà couvertes (GLM-5.2, Unlimited-OCR, VibeThinker, Kimi K2.7). Le sujet du jour vient de la génération d'images : Krea ouvre les poids de Krea-2, en tête du trending cette semaine. Deux checkpoints, une base à fine-tuner et une version distillée 8 étapes qui sort du 2K en ~2 secondes. C'est une alternative open-weight crédible aux API d'image propriétaires.

Top 1 — Génération d'images open-weight

• Krea-2-Raw : base non distillée, 12,9 Md, MMDiT single-stream — pour fine-tuning, post-training et LoRA.
• Krea-2-Turbo : distillé 8 étapes, 2K natif en ~2 s sur GPU grand public, via diffusers (Krea2Pipeline).
• Licence custom : safeguards obligatoires, usage entreprise payant au-delà de 50 sièges.

→ Analyse complète : 2026-06-25_detail.md

Digest court

Journée orientée sécurité, avec deux failles qui touchent directement les outils de dev et l'IA. Côté pipeline RAG, crawl4ai se prend une RCE pré-auth (CVSS 9.8) née d'un bac à sable AST mal pensé : filtrer les attributs par underscore ne protège de rien. Côté poste de travail, des chercheurs montrent qu'un compte macOS standard peut désactiver l'EDR (CrowdStrike Falcon) et le MDM (Kandji) sans admin ni exploit noyau. Le fil rouge du jour : les défenses « par liste de noms » et la confiance « parce que c'est local » échouent toutes les deux.

Top 2 — Sécurité applicative & endpoint

• Crawl4AI CVE-2026-53753 : évasion de sandbox AST via gi_frame.f_back → RCE pré-auth sur le serveur Docker, corrigé en 0.8.7 (+ SSRF CVE-2026-53754/53755).
• macOS CVE-2026-39118 : un utilisateur standard décharge Falcon et neutralise Kandji via XPC mal validé, injection NIB et abus du trust cache — sans toucher au noyau ni à SIP.

Les deux sujets partagent une morale d'archi : valider l'identité/forme de l'entrée (signature de code, allowlist d'opérateurs), pas son nom.

→ Analyse complète : 2026-06-25_detail.md