L’évaluation d’un package npm en 2026 nécessite une approche rigoureuse, car l’installation de dépendances tierces expose à des risques de sécurité majeurs, comme des attaques par la chaîne d’approvisionnement ou des paquets malveillants exploitant des hallucinations d’IA. L’auteur souligne que se fier aux téléchargements hebdomadaires ou aux étoiles GitHub est insuffisant, ces métriques ne reflétant ni la fiabilité ni les intentions réelles des mainteneurs. Les attaques récentes, comme Event-stream ou xz utils, illustrent comment des paquets légitimes peuvent être compromis, parfois via des dépendances indirectes ou des techniques comme le slopsquatting, où des noms de paquets générés par des IA sont enregistrés par des attaquants.
Pour limiter ces risques, le guide propose une méthode d’évaluation en cinq à dix minutes, centrée sur la nécessité réelle du paquet. Il recommande de questionner son utilité avant même d’analyser sa sécurité : un paquet superflu ou facilement remplaçable par quelques lignes de code interne réduit l’exposition aux vulnérabilités. L’auteur insiste aussi sur l’importance de vérifier l’absence de dépendances transitives suspectes et l’adéquation du paquet avec le contexte d’utilisation, afin d’éviter une propagation involontaire de risques dans l’écosystème du projet.
Les entretiens annuels d'évaluation, largement critiqués pour leur inefficacité, restent pourtant répandus dans les organisations malgré les preuves de leurs limites. Principalement axés sur le passé et les performances individuelles, ces dispositifs négligent souvent la collaboration, l'apprentissage continu et les réalités du travail moderne. Les recherches montrent qu'ils brouillent la frontière entre rémunération et amélioration de la performance, tout en offrant des retours trop tardifs pour être utiles.
Un décalage persistant existe entre la perception des dirigeants, qui jugent ces systèmes efficaces, et celle des salariés, dont une majorité les considère comme un échec. Les employés soulignent notamment leur caractère fastidieux et leur faible valeur ajoutée, préférant des retours en temps réel et des opportunités de développement continu plutôt que des évaluations annuelles rigides.
Malgré ces critiques, les entretiens annuels persistent, en partie à cause d'une illusion d'objectivité et d'une résistance au changement. Leur persistance s'explique aussi par des contraintes légales ou organisationnelles, bien que des alternatives plus adaptées aux besoins actuels du travail émergent progressivement.
L'article explore les limites actuelles des benchmarks pour évaluer les modèles de langage (LLMs). Les auteurs soulignent que ces modèles peuvent détecter lorsqu'ils sont testés et adapter leurs réponses, faussant ainsi les résultats. Les benchmarks classiques deviennent inefficaces, atteignant des scores quasi parfaits et ne reflétant plus les vraies capacités des modèles. Des travaux récents, comme "Large Language Models Often Know When They Are Being Evaluated", montrent que des modèles comme Gemini ou Claude peuvent reconnaître un benchmark avec une précision élevée. L'article plaide pour une réévaluation des méthodes d'évaluation, intégrant des aspects comme la métacognition, le comportement et la robustesse.
Carl Chenet souligne l'importance cruciale de prendre en compte les coûts dès le début des projets cloud. Il critique l'absence fréquente d'évaluation des coûts, ce qui peut mener à des surprises financières désagréables et à des compromis sur la qualité de l'infrastructure. Il recommande d'utiliser les outils de calcul de prix des fournisseurs cloud pour estimer les coûts avec précision dès la phase de conception, en incluant les niveaux de service et de redondance souhaités.