État des lieux et perspectives

Salut,

Après réflexions, @ornanovitch et moi-même (@f00wl), on aimerait vous proposer un état des lieux du développement de Hiboo, et quelques perspectives d'avenir.

Nous ne sommes pas les devs principaux, donc ce qu'on dit est à prendre avec le recul nécessaire. @kaiyou reste le plus à même de juger de la codebase.

Hiboo est un super projet:

• La réflexion sur l'authentification avec laquelle nous sommes toujours en accord.
• Des fonctionnalités assez introuvables ailleurs (plusieurs profiles, possibilité de claim, changement de type d'application, api pour masquer les emails etc.) qui ont été bien pensées dès le début pour les administrateurices et les utilisateurices.
• La qualité du code et sa factorisation, promesse d'une autonomie dans le développement.
• La simplicité et la légèreté de l'application qui contraste avec les usines à gaz comme keycloak ou gluu.

Tout ça nous a convaincu de l'adopter il y a trois ans comme solution SSO de notre petite infrastructure, et de participer à son développement.

Notre contribution au développement de Hiboo s'est fait en dents de scie (une scie bien édentée), mais on a quand même réussi à résoudre quelques bugs, dev quelques features (invitation, 2FA, groupes, templates flarum et nextcloud), passer à admin-lte v3 et à poetry, ainsi que pas mal d'améliorations et optimisation du front, et enfin à remettre en place une instance Weblate pour les traductions. Merci @kaiyou pour ton aide bienveillante sur tout ça.

Malgré ça, et malgré les maj apportées ponctuellement par @kaiyou et les contributions de toustes les autres contributeurices , Hiboo souffre d'un manque de développement de plus en plus criant :

• 19 dépendances directes sur 19 à mettre à jour
  • dont 12 dépendances contiennent des breaking changes
  • 27 vulnérabilités trouvées dans 9 paquet (17 concernant la crypto)
• 35 issues ouvertes
  • la dernière issue fermée remonte à 6 mois
  • 2 issues ~"type / security" sans activité depuis 6 mois
  • 6 issues en priority / 1 sans activité depuis 5 mois
  • 1 MR ouverte pour changement de licence sans activité depuis 1 an

Là s'impose un constat qu'il va bien falloir regarder en face : Hiboo n'est pas vraiment maintenu, et n'est clairement pas à la hauteur d'être utilisé comme « Security framework for small-sized hosting services ». Aussi petites soient nos infras, la sécurité de nos utilisateurices et de leurs données est compromise. Combien d'instances Hiboo sont actuellement en prod d'ailleurs ? On ne sait guère si d'autres que celles de la FELINN et de Tedomum existent.

Nous avons identifié quelques raisons qui nous font arriver à ce constat:

• manque de contributeurices (dev, test, traduction, etc.)
• manque de temps consacré à ce projet
• manque de compétences partagées entre les devs (par exemple on se repose beaucoup sur @kaiyou pour audit le code, car il semble à ce jour le plus compétant, notamment sur les questions de sécurité)

Nous pensons qu'il est temps faire un choix quant à l'avenir de Hiboo, en évitant de tomber dans le piège de l'escalade d'engagement.

Voici en très gros ce que ça pourrait impliquer, c'est juste une idée, la suite serait à construire ensemble.

flowchart TD
    A[Abandon de Hiboo]

    A -->|oui| B{Alternatives}
    B -->|migration ?| BA(keycloak)
    B -->|migration ?| BB(authelia)
    B -->|migration ?| BC(authentik)
    BA --> BAA[PR les features manquantes]
    BB --> BAA
    BC --> BAA

    A -->|non| C{dev soutenable}

    C --> CA[communauté active]
    C --> CB[devs engagé·es]
    CA --> CAA[besoin de visibilité]
    CA --> CAB[licence, coc, releases, etc]
    CAA --> CAAA[mirroir github]
    CAA --> CAAB[fediverse]
    CAA --> CAAC[CHATONS]
    CB --> CAA
    CB --> CBA[payer un·e dev ?]
    CBA --> CBAA[financement participatif]
    CBA --> CBAB[demander une aide]

---

Nous espérons par ce message faire naître des discussions, qui nous permettront de savoir où nous en sommes et ce dont on est capable. Le but est de prendre une décision collective, alors n'hésitez pas à participer. Et quel que soit le choix qui sera fait, nous continuerons à nous entraider. On espère que ce message vous trouvera en forme !

added app / core priority / 1 labels

Merci @f00wl pour ce message ! Je pose mes 20 centimes à la suite de cet état des lieux auquel je souscris totalement, surtout pour donner mes impressions sur ce à quoi pourrait ressembler la suite :

Perso j'ai très envie de m'impliquer de plus en plus dans le dev de Hiboo, et avec @f00wl en général quand on s'y met à deux (ce qui est globalement ce qu'on veut continuer à faire) on est pas mal efficaces. Une feuille de route qui me semble sensée pour « sauver Hiboo » à court terme, ou en tout cas pour poser des bases, donnerait quelque chose comme ça :

• décider de merge ou non ce qui traine
• mettre à jour toutes les dépendances, en priorité celles avec des vulnérabilités
• instaurer le semver et publier une release 0.1

En parallèle, il faut qu'on arrive à trouver un fonctionnement satisfaisant avec les forces en présence, c'est-à-dire principalement @kaiyou @f00wl et moi-même. Une chose qui nous embête avec f00wl c'est que même si j'ai la permission de merge nos propositions, on ose rarement en profiter car soit on se sent illégitimes, soit on se sent pas assez compétents pour vérifier notre code, soit les deux. Le fait est qu'on avance rarement sans avoir eu une vérif de kaiyou qui, il faut le dire, intervient parfois longtemps après, et moyennant des relances sur [matrix] (et nous on n'ose pas trop relancer, on sait que vous avez plein d'autres trucs à gérer chez Tedomum). Utiliser semver et les release pourrait nous aider sur ce point : merger ne signifierait plus mettre en prod, puisque la mise en prod du tout venant attendrait la release.

Quoiqu'il en soit tout ça me semble poser une question sur la manière dont tu as envie d'être sollicité sur ce projet @kaiyou, et sur le rôle effectif qu'on peut avoir de notre côté (de fait devenir des devs principaux, et toi notre reviewer favori ?) Plus on en fera, plus on saura faire, plus on aura la conf' sur le code, donc je pense que quoiqu'il arrive au bout d'un moment il faut se lancer si on veut que ça prenne forme.

Sachant qu'en plus des priorités de la feuille de route que je viens de dresser, j'ai très envie de partir dans d'autres directions :

• bosser sur le partage de profil suite à l'abandon de notre camarade llaq
• finir les traductions en français
• peaufiner toujours plus et toujours mieux le design de l'application

Avec f00wl on a encore d'autres idées :

• créer une doc intégrée à Hiboo
• imaginer une version du logiciel où la gestion des applications seraient des plugins disponibles depuis des repos externes,

En gros avec @f00wl on est prêts à consacrer du temps à Hiboo en 2024 et à long terme, à se planifier des bonnes sessions de devs, mais on a besoin de savoir qu'on fera ça dans un cadre qui pourra être un peu plus actif et structuré

Bonjour d'abord et merci à tous les deux pour votre engagement et votre analyse du dessus que je trouve très juste.

Le constat est effectivement difficile, et par comparaison très différent de Mailu (un autre de mes projets passés avec une sociologie différente) après quelques années d'existence : si Hiboo a trouvé vos précieuses contributions, nous ne sommes parvenus à l'engagement d'une communauté, la même qui aujourd'hui maintient Mailu de manière parfaitement indépendante.

Il y a en complément d'analyse plusieurs causes racines à ces manques :

• Hiboo est moins médiatisé parce que moins de volonté de le promouvoir, là où j'ai fait la promotion de Mailu dès 2015 en mettant en avant les retex pertinents, en mettant à jour de la documentation, en répondant aux questions sur Github, sur Reddit, etc.
• Hiboo répond à un use case de niche, et introduit des concepts finalement plus complexes que la majorité des solutions de SSO.

Reste à déterminer si c'est fatal au projet ou si nous pouvons malgré tout ranimer la chose ! Je fais régulièrement de la veille sur les alternatives et je continue de croire que non, et qu'elles continuent d'aller en sens inverse (qu'il serait dont très difficile d'y insérer nos besoins).

La cause principale de mon indisponibilité en 2022-2023 était Hepto, autre projet mené avec TeDomum, où j'ai dû level up contre vent sur quelques technologies. Je m'y sens aujourd'hui à l'aise et le tout est en production, bien que cet autre projet est sujet aux exacts mêmes risques que Hiboo. Aussi je m'y suis posé à peu près les mêmes questions que vous, en arrivant environ aux mêmes conclusions sous une forme différente :

• il faut inciter prudemment à l'adoption, en documentant par des efforts d'accompagnement des structures type CHATONS qui sont nos principales cibles ;
• il faut abaisser la barre de contribution, tant par la documentation précise pour les développeurs, qu'en matérialisant les contributions accessibles ;
• il faut donner un tempo d'évolution du projet en facilitant des releases régulières, explicitant le changelog et les breaking changes.

---

Je me permets sous cet angle de proposer quelques compléments au plan de sauvetage proposé :

1. Je sors de ma torpeur ce premier trimestre pour mettre avec vous à l'écrit les sujets en cours, derrière la tête, du plus simple comme une maj de dépendance aux plus complexes comme le partage de profil.
2. En plus de semver on instaure un tempo de release, par exemple trimestriel. On pose de milestones, on y publie ce qui est prêt, mais toujours une version d'un niveau de qualité minimal, nous obligeant à la maintenance des dépendances notamment.
3. On planifie la 0.2 pour le prochain intervalle, par exemple avril, et on propose un programme visible pour inviter aux contributions.
4. On y contribue nous-mêmes en gardant espoir que de premiers nouveaux contributeurices se joindront.
5. On va chercher de nouveax déploiements et les contributions qui vont avec pour la 0.3 (qui sera peut-être une 1.0 ?) en insérant au minimum un coc et des canaux de soutien et suivi du projet.
6. On pin cette issue comme méta issue de discussion permanente sur la vie du projet.
7. Je m'éloigne un peu à nouveau poura release d'après, justement pour animer le même genre de plan de continuité pour Hepto.

---

Quant-aux idées complémentaires qui nécessitent discussion, je lance quelques autres :

• avec @reminec on a beaucoup parlé documentation interactive et rolification pour prendre des gens par la main dans le monde du numérique vertueux, notamment autour de l'entr'hébergement, ce pourrait être au même titre qu'on compte y causer de Hepto, de Garage, un endroit pour parler de Hiboo, et donc une fenêtre de visibilité ;
• auprès des CHATONS nous avons évidemment une communauté potentielle, bien que je me sente toujours illégitime à y inviter à contribution étant nous mêmes trop peu contributeurs au collectif ;
• GitHub me repousse toujours très fort, mais je suis contraint d'admettre que c'est probablement ce qui a aidé Mailu, oserait-on y mettre un pied ou bien continue-t-on au contraire de militer pour faire différemment ?

Merci @kaiyou pour tes retours, j'ai l'impression qu'on va tous dans le même sens : on a pas envi de lâcher Hiboo mais plutôt de lui donner un bel avenir, donc c'est chouette! Maintenant il faut qu'on s'en donne les moyens.

J'ai du mal à projeter notre activité à venir, mais le timing que tu propose me parait pas déconnant, en tous cas ça me va de partir là dessus. Je propose donc d'ouvrir trois milestones pour essayer de ranger notre chambre (les issues):

• %Reboot pour ce qui est de remettre Hiboo à flots avec les besoins urgents soulevés plus haut
• %v0.2.0 pour accueillir les nouvelles contributions et contributeurices on l'espère (la v0.1.0 est déjà celle en court dans poetry, et techniquement on est déjà en prod)
• %v1.0.0 parce que c'est important une v1 et parce qu'on est optimistes ^^

Ce sera toujours possible ouvrir des 0.x.y pour temporiser la v1.0.0 s'il y a besoin.

Avec @ornanovitch on est partant pour faire une première proposition de tri des issues dans les milestones pour jalonner la suite en fonction de ce qui a été dit. À réajuster dans le temps avec les contributeurices en fonction des discussions et des envies et besoins de chacun·e.

• Pour nous faciliter et formaliser le suivit des dépendances qui peut être fastidieux mais crucial, je vous propose d'utiliser https://gitlab.com/renovate-bot/renovate-runner/. On l'utilise sur notre Gitlab, c'est vraiment trèèès pratique.

• Je suis pas sûre de comprendre ce que vous entendez par « documentation interactive et rôlification » mais ça à l'air super

• Nous on a même jamais candidaté au CHATONS, mais ça me parait pas abusé de poster une petite présentation de Hiboo quand on sera prêt·es.

• Je suis frileux avec Github, dans la mesure ou les inscriptions sur cette forge sont ouvertes, je pense qu'on peut garder cette cartouche pour plus tard si jamais tout le reste ne suffit pas.

Merci beaucoup @kaiyou c'est un chouette retour et ça me parle !

Chaud de commencer à trier les tickets déjà existants avec @f00wl, histoire de faire une première proposition qu'il faudra qu'on enrichisse ensemble :

• Le plus simple va être de construire le premier milestone (0.1.1 disons), et la première échéance d'avril puis le tempo trimestriel me semblent très réalistes tant qu'on planifie un minimum nos sujets. Je ne sais pas combien de tickets vont tomber avec cette 0.1.1, et peut-être qu'il va falloir en créer quelques uns, mais effectivement il faut que ça englobe tout ce qui urge (dépendances, problèmes de sécurité, merge request en cours, fin de la traduction fr...), histoire que la suite de la roadmap soit propre.

• Commencer à planifier la suite (0.2 & next) est en soi une tâche à commencer pendant qu'on dev la 0.1.1 : continuer de trier/créer les tickets et les ranger dans milestones appropriés. Mais en faisant ça je pense qu'il va falloir à un moment donné un vrai échange sur ce à quoi on souhaite que Hiboo ressemble/promette de ressembler à partir de la v1 : quels sont les objectifs, qu'est-ce qu'on développe encore ou qu'on arrête de développer, ou qu'on développe différemment, et qu'est-ce qu'on développe de nouveau ? etc.

  Un exemple de discussion qui pourrait avoir lieu, en tout cas qui me trotte dans la tête depuis quelques temps : j'ai l'impression que toutes les chouettes features qui ont été dev pour interagir avec l'API de Synapse sont une extension de Hiboo qu'on ne sera jamais capables de proposer à parité avec l'ensemble des applications qui pourraient en bénéficier. À terme, ça pose selon moi la question de Hiboo apps vs. Hiboo core. Et en vrai j'aime bien cette question car elle implique potentiellement de l'épurement et de l'extensibilité, et donc un surcroit de potentiel d'appropriation par d'autres gens / communautés.

• En parallèle de tout ça, il y a le boulot de documentation, qui doit jalonner l'ensemble du processus et dont une première forme aboutie est rédhibitoire pour une v1. Avec @f00wl on a eu l'idée de l'intégrer dans l'application, avec un dossier docs build dans chaque instance. À l'avenir ça pourrait nous obliger (en l'indiquant dans un code de contribution) à documenter les features développées en temps réel, au moins a minima. C'est une idée que je trouve chouette, qu'en pensez vous ?

Pour tout le reste que tu écris @kaiyou c'est pas mal de sujets de discussion que je trouve hyper intéressants, faudrait qu'on trouve un moment pour avoir un vrai moment d'échange un de ces quatre !

Je propose de créer au kilomètre dans les jours qui viennent des issues pour rassembler les idées que j'avais dans la tête, les problèmes que je connais à plus ou moins court terme, et vous aider à triage les issues existantes. Je propose que chaque issue ait au moins une priorité et un type. J'ai rajouté pour hepto des labels de difficulté, notamment pour marquer les issues accessibles aux contributeurices fraîchement arrivées.

Concernant la documentation je suis à 200% en phase, let's go la placer dans un dossier docs/ et l'embarquer dynamiquement dans le build de Hiboo autant qu'on peut. Je suis assez favorable à la maintenir en Markdown en revanche, pour pouvoir l'employer ailleurs également. Je veux bien tenter de vous aider à structurer progressivement la doc selon les axes de Diataxis, je pratique récemment au bureau et c'est très utile.

marked this issue as related to #110 (closed)

changed the description

added organization label and removed app / core label

Pour le moment @ornanovitch et @f00wl ont décidé de continuer le projet, sur le temps libre qu'ils ont à y consacrer.

Après un %0.1.0 (reboot) pour patcher les failles critiques, et une %0.1.1 pour corriger les problèmes introduits, on se dirige à ce jour vers une release intermédiaire %0.2.0 avant une release à venir qui sera la base pour lancer un appel à contribution plus large, qui permettra de préparer la %1.0.0.

Merci énormément aux contributeurices qui ont participé aux dernières releases et à la %0.2.0 à venir !

Toutes les contributions (issues, MR, commentaires, etc) sont bien sûr plus que bienvenues dès maintenant, si la structuration actuelle (un peu bancale) vous convient !

Pour rappel, une partie des discussions ont lieu sur le canal Matrix dédié au projet : https://matrix.to/#/#hiboo:tedomum.net

closed