Jean-Baptiste Kempf

Sauf qu'en fait, il y a beaucoup de choses qui sont basées sur FFmpeg ou sur VLC qui ont été écrites dans la fin des années 90, début des années 2000.

Et on était quand même beaucoup plus cool, on faisait quand même beaucoup plus confiance, mais surtout...

on savait moins utiliser les failles de sécurité.

Et donc, en fait, de par la taille du projet, qu'en fait, VLC, c'est un truc énorme.

C'est monstrueux.

En fait, quand tu compiles VLC plus toutes les dépendances, on se passe de 15 millions de lignes de code en C et en C++.

C'est monstrueux.

C'est qu'en fait, le problème de VLC ou le problème de Chrome, c'est qu'en fait, dans ton process, tu as du code qui tourne, qui n'est pas le tien.

Donc, tu ne peux pas faire confiance.

Donc, soit tu audites tout le code, parce que c'est open source et comme VLC, on amène tout le code.

Mais en fait, parfois, tu tournes dans ton process le binaire qui est ta carte graphique, le driver de ta carte graphique.

Il y a une partie qui est exécutée dans ton binaire.

Et quand il crash, de toute façon, tu n'as pas le code source parce que c'est dans le driver de Nvidia.

Et là, tu fais quoi ?

Et donc, par exemple, je peux te dire que 80-90% des crashes de VLC, c'est dans les drivers des cartes graphiques.

Et toi, tu n'y peux rien.

Globalement, la réponse est qu'on n'en sait rien.

C'est à peu près aussi sécurisé.

Mais c'est vrai qu'aujourd'hui, il y a un petit avantage à être open source parce qu'on a développé énormément d'outils d'analyse statique et d'analyse dynamique.

que c'est plutôt impositif.