Aller au contenu

Weekly #22 : Navidrome 0.63, GitHub Stars, Pangolin 1.20 et Home Assistant

Cryptolab.re
Auteur
Cryptolab.re
Cryptolab est un blog personnel où je documente mes expérimentations techniques : infra, self-hosting, réseau, crypto et projets parfois inutiles, souvent instructifs.
Sommaire

Cette semaine : Navidrome livre une release utile pour les grosses bibliothèques musicales, GitHub ferme progressivement l’accès public à certaines données de stars et watchers, Pangolin continue de polir son dashboard, et Home Assistant Companion prépare la fin du support de vieux OS Apple.

Côté veille, le thème récurrent reste assez net : moins de nouveauté spectaculaire, plus de maintenance réelle. Performances, restrictions d’API, support mobile, sauvegardes, compatibilité et vieillissement des dépendances. C’est souvent là que se joue la qualité d’une stack self-hosted.

Navidrome 0.63 : paroles synchronisées, performances et contrôle d’accès#

Navidrome 0.63 est probablement la mise à jour self-hosted la plus intéressante de la semaine.

La nouveauté visible, c’est le support des paroles synchronisées en fichiers sidecar avec plusieurs formats : TTML, ELRC, SRT, YAML et LRC. Navidrome expose aussi ces données via les extensions lyrics d’OpenSubsonic v2, avec du timing mot par mot et des couches multi-voix.

Pour un serveur musical personnel, c’est plus qu’un gadget. Beaucoup de bibliothèques sont déjà organisées avec des fichiers annexes à côté des pistes : jaquettes, paroles, playlists, métadonnées corrigées. Pouvoir gérer les paroles sans tout réencoder dans les tags audio garde une séparation propre entre média et enrichissement.

Les gains opérationnels sont surtout côté performance :

  • search3 devient beaucoup plus stable sur les gros offsets ;
  • la synchronisation complète d’une bibliothèque d’environ un million de pistes est annoncée environ 20 fois plus rapide ;
  • getRandomSongs gagne aussi fortement ;
  • plusieurs requêtes de smart playlists et de comptage profitent de nouveaux index ou de requêtes plus légères.

La release contient aussi un point sécurité à ne pas ignorer : Navidrome corrige des chemins où l’accès par bibliothèque n’était pas toujours appliqué correctement, notamment sur l’import M3U, les playlists partagées et certains flux publics.

Si vous utilisez plusieurs bibliothèques avec des droits différents, je mettrais cette version dans la pile des mises à jour à faire rapidement, après sauvegarde de la base.

À vérifier avant mise à jour :

docker compose exec navidrome navidrome --version
docker compose logs --tail=100 navidrome

Et côté configuration, attention au changement de comportement : le partage est maintenant activé par défaut. Si ce n’est pas voulu :

EnableSharing = false

Navidrome v0.63.0

GitHub restreint les données stargazers et watchers
#

GitHub annonce des restrictions d’accès sur plusieurs endpoints publics et vues associées.

Les endpoints concernés :

  • /repos/{owner}/{repo}/stargazers
  • /repos/{owner}/{repo}/subscribers
  • /users/{username}/subscriptions

Les deux premiers seront limités aux admins et collaborateurs. Le troisième doit d’abord retourner des réponses vides pendant la période de dépréciation, avant suppression complète dans une phase suivante.

GitHub indique que ces données publiques sont de plus en plus utilisées pour collecter des informations et alimenter des activités de spam.

La justification se comprend. Les listes de personnes qui étoilent ou suivent un projet exposent des graphes d’intérêt très exploitables : développeurs d’un écosystème, utilisateurs probables d’un outil, projets sécurité suivis par une équipe, signaux faibles de veille concurrentielle.

L’impact existe aussi côté open source :

  • les outils d’historique de stars deviennent moins fiables ;
  • les dashboards communautaires perdent une source de données ;
  • les scripts de veille qui suivaient les nouveaux stargazers vont casser ;
  • les métriques publiques deviennent un peu plus agrégées, un peu moins auditables.

Ce n’est pas un drame pour exploiter GitHub au quotidien. Mais c’est un rappel utile : une API publique n’est pas un contrat durable. Si votre workflow dépend d’une vue sociale GitHub, gardez une sortie de secours.

GitHub Changelog - Upcoming access restrictions to public API endpoints and UI views

Pangolin 1.20 : dashboard plus rapide à utiliser
#

Pangolin 1.20 ajoute deux fonctions qui parlent surtout aux gens qui administrent réellement plusieurs ressources :

  • Resource Launcher : une page de lancement avec vues configurables et sauvegardables ;
  • Global Command Palette : navigation rapide dans le dashboard, sites et ressources.

Ce n’est pas le genre de release qui change l’architecture. C’est plutôt une version qui réduit les frictions quotidiennes : retrouver une ressource, passer d’un site à un autre, éviter de cliquer dans quatre menus pour une action fréquente.

La version ajoute aussi :

  • un type de règle géographique Country Is Not ;
  • un champ username dans le formulaire VNC, utile notamment avec macOS ;
  • des pages dédiées pour l’édition et la création de ressources privées ;
  • des mises à jour de dépendances ;
  • plusieurs corrections UI.

Le point prudent : Pangolin conseille explicitement de sauvegarder les données de configuration avant mise à jour, car un rollback simple n’est pas garanti après migration.

À faire avant upgrade :

docker compose ps
docker compose logs --tail=100 pangolin

Puis sauvegarde du répertoire d’app-data ou du volume réellement utilisé par votre déploiement. Le nom exact dépend de votre compose, donc vérifiez avant de copier :

docker inspect pangolin --format '{{ json .Mounts }}' | jq .

Pangolin 1.20.0

Home Assistant Companion coupe le support de vieux OS Apple
#

À partir de Home Assistant Companion 2026.8.0, l’application ne supportera plus iOS 15, watchOS 8 et macOS 11.

La dernière version compatible sera 2026.7.1. Ensuite, les minimums deviennent :

  • iOS 16.4 ;
  • watchOS 9 ;
  • macOS 12.

La raison donnée est assez classique : les outils développeur Apple arrêtent officiellement de supporter watchOS 8 et macOS 11 à partir de septembre, et maintenir ces plateformes bloque certaines évolutions UX, stabilité et performance.

Pour un homelab, l’impact dépend surtout de vos terminaux de contrôle. Si vous recyclez de vieux iPhone ou iPad comme tableaux de bord muraux, ce n’est pas anodin.

À vérifier maintenant :

Réglages > Général > Informations > Version d'iOS

Si l’appareil est bloqué sur iOS 15, il pourra encore utiliser l’interface web Home Assistant dans le navigateur. Ce n’est pas strictement équivalent à l’application native, mais pour un dashboard mural, ça peut suffire.

Home Assistant - Companion app: Changing support for Apple platforms

Backblaze Drive Stats Q1 2026 : utile, mais à lire correctement
#

Backblaze publie ses statistiques de disques pour le premier trimestre 2026. Le rapport reste intéressant pour les admins homelab, même s’il ne faut pas le lire comme un classement universel des meilleurs disques.

Quelques points utiles :

  • l’AFR trimestriel est annoncé à 1,24 % ;
  • l’AFR lifetime du parc analysé est à 1,39 % ;
  • les disques de plus de 20 To déployés récemment affichent un AFR de 0,85 % en pool, mais ils restent jeunes ;
  • Backblaze rappelle ses critères d’exclusion, notamment le nombre minimal de disques et de drive days.

Le point important est méthodologique. Un disque avec une seule panne peut afficher un AFR élevé si le parc restant est petit. À l’inverse, un modèle très récent peut sembler excellent parce qu’il n’a pas encore accumulé assez d’années de service.

Pour un NAS personnel, ces rapports servent surtout à éviter les interprétations naïves :

  • ne choisissez pas un disque uniquement sur un AFR isolé ;
  • regardez l’âge moyen du parc ;
  • vérifiez le nombre de disques observés ;
  • gardez une vraie stratégie de sauvegarde ;
  • surveillez vos propres erreurs SMART et logs kernel.

Commande simple pour un disque local :

smartctl -a /dev/sdX

Sur un hôte Linux, les erreurs disque remontent souvent aussi ici :

journalctl -k -p warning

Backblaze - Drive Stats for Q1 2026

Signaux de veille cette semaine
#

Debian 13.6 : la publication de la mise à jour 13.6 de Trixie mérite une fenêtre de maintenance, pas une réaction immédiate dans la nuit. Vérifiez d’abord vos paquets en attente :

apt list --upgradable

Arch et yay v13 : un lien LinuxFr revient sur les hooks Lua de yay pour durcir les installations AUR. Après les dernières discussions sur les paquets AUR malveillants, c’est un bon sujet à suivre si vous utilisez Arch hors machine jetable. Le bon réflexe reste de lire les PKGBUILD avant installation.

opencode : la série 1.17 continue de bouger vite, avec plusieurs releases entre 1.17.14 et 1.17.18. Les correctifs touchent notamment les providers, modèles de raisonnement, MCP et erreurs de configuration. Si opencode est dans votre workflow quotidien, évitez de rester plusieurs semaines derrière.

Ubuntu 26.10 et dbus-broker : Ubuntu 26.10 remplace dbus-daemon par dbus-broker. Pour l’utilisateur final, le changement devrait être discret. Pour les gens qui packagent ou déboguent du desktop Linux, c’est une couche système à surveiller.

Les pépites de la semaine
#

TypeType : stack self-hosted pour consommer YouTube, avec historique, playlists, abonnements, progression de lecture, proxy média, téléchargements et support d’autres services vidéo. À regarder comme un outil de reprise de contrôle, pas comme une solution miracle contre toutes les dépendances aux plateformes. TypeType

FUTO Notes : application de notes local-first, dans la logique FUTO : contrôle utilisateur, synchronisation optionnelle et modèle moins dépendant d’un cloud central. À tester surtout sur l’import/export et la réversibilité des données. FUTO Notes

KeeWeb v1.18.8 : release en préversion sur un client KeePass qui n’avait pas beaucoup bougé depuis longtemps. C’est un signal intéressant, mais je resterais prudent avant d’en faire un gestionnaire principal : vérifier maintenance, signatures, modèle de release et compatibilité avec vos fichiers .kdbx. KeeWeb v1.18.8

InfiniTime 1.16.1 : petite release pour supporter un nouveau contrôleur d’écran ST7789P3 sur PineTime. Pas central côté infra, mais utile pour les gens qui aiment les appareils réparables et firmware libre. InfiniTime 1.16.1

PureMac : outil open source de nettoyage macOS repéré dans les projets suivis cette semaine. À classer dans “à tester en VM ou sur machine secondaire” : ce type d’outil touche au filesystem utilisateur, donc il mérite plus de prudence qu’un simple utilitaire de lecture. PureMac

Commande du jour
#

timeout 30s command

timeout évite qu’une commande reste bloquée indéfiniment dans un script ou une tâche cron. C’est simple, mais ça sauve beaucoup de jobs de maintenance.

Exemples :

timeout 30s curl -fsS https://example.com/health
timeout 10m restic backup /srv
timeout 2m docker compose pull

Pour un cron, c’est souvent préférable à un script qui s’empile silencieusement toutes les heures parce qu’un service distant ne répond plus.

Sources
#

Articles connexes

Weekly #21 : Immich v3, .self, Ente, WSL containers et Plex

Immich v3 passe en stable avec édition mobile, workflows et contrôles d’intégrité. HCCF veut créer un TLD .self pour le self-hosting. Ente ouvre ses métriques business. Microsoft publie WSL containers en preview. Plex augmente fortement le Plex Pass à vie. Côté veille FreshRSS : Godot durcit sa contribution face au code généré par IA, opencode enchaîne les correctifs et oomwoo propose un aspirateur open source.