Având în vedere treaba de mai sus plus alte incidente (unele postate și pe forum), voi mai aveți un sâmbure de încredere în third parties (package managere - nu contează care)?
Eu unul mi-am pierdut increderea. Pur și simplu descarci o bibliotecă nevinovată la prima vedere, darrrrrr un carcalac este ascus pe undeva și așteaptă momentul potrivit și apoi, booom!
Sunt conștient că există si repo-uri interne și echipe de securitate (primesc pe mail la muncă alerte de securitate când o vulnerabilitate este descoperită)care verifică fiecare lib, darrr… să zicem că tot tragi un pachet dintr-un repo public.
noi nu folosim librarii externe decat daca n-avem de ales (adica daca efortul sa scrii tu chestia respectiva este mult/infinit mai mare decat sa incarci ceva existent care merge ok si e ce-ti trebuie).
te poti proteja in diverse moduri, dar nu total, evident.
Version locking-ul e mandatory si verificat in pipeline, toate versiunile existente sunt in Artifactory si SW360, plus verificate cu Fossology. Deci nu mai avem treaba cu ce e extern. Chiar si local la node am artifactory setat.
Dupa exista scan la imaginile de docker in AWS si scan in pipeline cu sonarqube.