Interview Christophe Ferreboeuf / EasyAudit

J’ai interviewé Christophe, que je connais par l’association OpenGento depuis plusieurs années (on en reparlera plus bas), pour nous présenter sa solution EasyAudit spécialement conçue pour auditer les sites Magento 2 et proposer des correctifs. Etant donné que nous hébergeons plusieurs sites Magento, c’est un outil qu’il nous semble pertinent de présenter. C’est ce que nous allons découvrir dans cet article.

Présentation / Parcours

Etienne Zulauf > Peux-tu présenter ton parcours ?

Christophe Ferreboeuf > Je suis développeur freelance exclusivement pour Magento depuis 2012, d’abord sur Magento 1 puis Magento 2. J’ai contribué à environ 25 projets sur des missions longues, et réalisé environ 40 audits indépendants des missions.

Je suis adhérent de l’association Opengento depuis 2022, ce qui m’a permis de rencontrer mes pairs, et toi au passage :-) C’est un vrai plaisir et atout de pouvoir échanger avec d’autres experts quotidiennement sur Slack, sans parler des week-ends, moments parfaits entre expertise technique et détente conviviale. Je recommande vivement cette association.

Idée produit

EZ > Du coup comment est née l’idée de ton produit ?

CF > Comme vu juste avant, j’ai réalisé beaucoup d’audits, entre 2 et 4 par an. Par flemme de chercher à la main toujours les mêmes choses pour une partie de l’audit, j’ai décidé d’en automatiser une partie.

Un audit est très important et doit être fait consciencieusement car c’est toute la qualité (ou pas) de la boutique qui est passée au crible. C’est un document crucial pour le e-commerçant.

La genèse s’est passée ainsi :

• 2020 : script shell pour trouver 3 patterns critiques pour agir rapidement avec beaucoup de valeur ajoutée.

• 2024 : Idée de faire un module magento.

• 2025 : présentation module à Meet Magento France. Mes confrères me remontent qu’il est compliqué d’installer un module tiers chez les clients. Donc je bascule sur un script PHP.

Fonctionnement

CF > Le produit est double : un outil d’audit gratuit et open source, et un outil de fix payant.

Audit en détail

CF > L’outil d’audit est en open source, ce qui permet de rassurer les clients et développeurs pour vérifier ce qui est fait. À aucun moment le code ne quitte la machine qui exécute l’audit, il ne génère aucune activité réseau.

Il détecte des problèmes aussi bien liés aux performances qu’à la sécurité et la maintenance. Il ne contient pas de vérifications spécifiques à Hÿva (front populaire sur M2).

Je l’ai pensé pour être utilisé en local, même s’il est léger. Je pense que tout le monde utilise Git aujourd’hui et sera rassuré de ne pas utiliser l’environnement de production pour auditer son code. D’autant plus que les rapports générés sont à protéger du public.

Il s’utilise avec Docker ou avec un fichier PHAR à télécharger dans le workspace.

Il peut être utilisé avec GitHub Actions (ou autre CI/CD) pour faire un test à chaque commit grâce à l’image Docker.

Les formats de sortie de l’audit sont :

• html (pour humain)
• json (pour fixer)
• sarif (pour créer des issues directement dans Github)

À partir de ces données, le développeur peut analyser point par point les détections.

À noter qu’il est possible de réaliser un scan en ligne via mon serveur pour les personnes qui ne peuvent pas l’exécuter en local, en achetant des crédits (coût proportionnel à la taille du code). Le code source est supprimé du serveur dès l’audit réalisé. Voici un exemple en vidéo.

Fixer en détail

CF > Il faut acheter des crédits pour utiliser ce service. C’est comme ça que mon travail sur ce projet est rémunéré, tout en apportant beaucoup de valeur ajoutée aux utilisateurs.

Le contenu de l’audit (ou une sélection manuelle par l’utilisateur) est envoyé en JSON avec le code source concerné à mon serveur (hébergé en France) qui génère des préconisations et les retourne directement dans le code. Toutes les données sont supprimées juste après l’envoi des préconisations de mon serveur.

Mais attention, le fixer ne peut pas gérer tous les cas de figure.

D’une part certaines corrections doivent forcément être faites manuellement par le développeur, et d’autre part j’ai encore pas mal de développements à faire pour proposer plus de corrections car l’énergie a surtout été mise sur l’audit pour l’instant.

L’exécution complète du fixer prend généralement moins d’une minute.

EZ > Quelle est ta confiance dans les corrections que ton outil propose ?

CF > 90% mais il faut absolument relire (comme avec l’IA).

Valeur ajoutée

EZ > Comment peut-on mesurer la valeur ajoutée de ton outil complet ? (audit + fixer)

CF > En une heure, je détecte et corrige des problèmes qui auraient pris 1 jour à détecter et 0,5 jour à corriger.

Certes avec l’IA, un développeur peut corriger les problèmes remontés par l’outil audit seul et rapidement. Mais j’ai des retours moyennement satisfaisants de développeurs qui ont fait comme ça. Les propositions sont bien moins précises et spécialisées, et le temps de correction reste quand même bien plus long que les quelques secondes que met mon outil à faire les corrections.

Utiliser l’outil fixer, c’est plus fiable car plus spécialisé, plus rapide, et c’est aussi une manière de contribuer à mon travail.

On entend souvent que Magento 2 est lent. Certes déjà sur un Magento 2 vierge il y a déjà beaucoup à faire, mais les plugins externes sont majoritairement la cause des ralentissements. Mon outil permet de nettoyer ces extensions qui sont parfois de vraies poubelles, même chez les éditeurs les plus connus du marché !

Enfin, les optimisations proposées permettent de réduire drastiquement la charge serveur, source d’économies d’hébergement.

EZ > Est-ce que tu connais des concurrents à ton outil ?

CF > Je ne suis pas sur le même créneau que Blackfire, New Relic et consorts qui monitorent très finement les ressources serveur en production. Mais je ne connais pas d’autres outils d’audit Magento sur le marché.

Commercialisation

EZ > Combien ça coûte d’utiliser tes outils ?

CF > L’audit est gratuit et open source. D’ailleurs je suis ouvert aux contributions extérieures pour rendre l’outil encore plus complet car je n’ai pas la prétention de tout connaître dans l’immense rouage qu’est Magento 2. Il y a un plan de contribution qui est dans le repo GitHub.

Pour l’outil fixer, il faut un crédit par correction. Les crédits coûtent de 0,02 à 0,06 € selon l’abonnement choisi, ou 0.20 € en achat non récurrent (one shot).

Je pense que tout le monde est gagnant. Si plusieurs agences jouent le jeu pour me permettre d’atteindre un revenu complémentaire décent, j’ai encore beaucoup à apporter à l’outil pour le rendre encore plus pertinent.

Et l’IA dans tout ça ?

EZ > Utilises-tu l’IA pour concevoir l’outil?

CF > Oui, heureusement, sinon je n’aurais pas les ressources. Perso, j’utilise Claude.

Je l’utilise tâche par tâche pour tout contrôler, l’IA a tendance à s’assurer que le code fonctionne au détriment des performances.

J’utilise aussi Claude en mode tchat pour l’accompagnement sur la partie commercialisation (textes et stratégie).

EZ > Est-ce que selon toi ton outil va revêtir un intérêt encore plus important dans un monde où le code va de plus en plus être généré par l’IA ?

CF > Je n’y avais pas pensé ! En effet, mon outil est très utile pour passer après une IA qui n’est pas (encore ?) spécialisée Magento 2. Les personnes expertes garderont à mon avis des réflexes sur les sujets complexes que l’IA aura du mal à atteindre.

Conclusion : Ambitions

EZ > Que peut-on te souhaiter pour que le projet continue sur la bonne voie ?

CF > J’espère une adoption par plusieurs développeurs et agences pour que le projet se pérennise. Au-delà des services rendus, c’est aussi un très bon outil de formation pour les jeunes développeurs qui, au travers des préconisations du fixer, prendront de bonnes habitudes. J’ai défini des tarifs volontairement (très) bas qui doivent permettre une adoption sans frein financier, j’espère que ce sera perçu comme tel.

EZ > Christophe, merci pour ton temps et je te souhaite un succès fort pour ce formidable outil.

Le site de la solution : EASYAUDIT