Recomendo o SALSA -https://slsa.dev
É um conjunto de diretrizes para certificar o processo de CI/CD com relação a cadeia de suprimentos.
Ele serve justamente para evitar que o seu Pipeline baixe pacotes “não-validados” e suba isso junto com a sua aplicação. Sugere algumas formas de você evitar injetar código problemático dentro do seu sistema, e também formas de contornar os problemas decorrentes disso caso isso aconteça. (Prevenção e Resiliência)
Hoje em dia, mais do que nunca, os sistemas são sempre construídos uns em cima dos outros. Se antes você programava em C++, compilava o código e enviava o seu programa para os usuários, hoje você faz seu código em TypeScript dentro do Vue.js, que por sua vez é transpilado pelo WebPack, que por sua vez roda no Node, que veio do NPM, que por sua vez usa uma biblioteca que um cara lá no Senegal escreveu 15 anos atrás e hoje em dia ninguém faz nem ideia do que ela faz.
Um módulo desses que esteja comprometido, e tudo cai igual a um castelo de cartas.
Quero só ver a moda chegar nos repositórios Linux (exceto os do Debian porque nesse terreno até onde se sabe, é controlado até a alma).
Já rolou isso várias vezes lá, inclusive já teve código malicioso implantado, felizmente viram antes.
Se só chamasse a mensagem contra a guerra e não fizesse mais nada, teria sido uma boa história. Apagar os arquivos, mesmo baseado em geolocalização, é um pedido para dar tanta m***a.
Fedora tb, porque é mantido pela Red Hat.
peacenotwar se le “peace not, war” ou “peace, not war”? hahaha
Este tópico foi automaticamente fechado após 92 dias. Novas respostas não são mais permitidas.