Al momento stiamo lavorando all'implementazione del set di regole PCI-DSS nel nostro ambiente IT, dove tutto il software interno che utilizziamo è Perl. Abbiamo un team di sviluppatori Perl di circa 10 persone (incluso me) e gestiscono applicazioni di grandi dimensioni, per lo più legacy.
Ora il consulente che paghiamo per aiutarci a implementare la roba PCI non è molto esperto in Perl e ritiene che il CPAN sia un rischio. I pacchetti prebundled contenenti materiale CPAN che sono disponibili come rpms nel repository openSuse d'altra parte sono sicuri da usare, secondo questo tipo. Pensa che dovremmo avere qualcuno dall'audit esterno tutto il codice da CPAN che vogliamo installare. Questa persona avrebbe bisogno di avere un solido background di sicurezza e una profonda conoscenza di Perl. Sfortunatamente, non conoscono nessuno del genere.
Aggiunta: dopo che il codice CPAN per ogni singolo modulo è stato sottoposto a controlli di sicurezza, creiamo il nostro pacchetto rpm (uno per ogni modulo CPAN) e li usiamo per installarlo sui nostri server.
La mia domanda principale non è per qualcuno che può essere il revisore dei conti per noi (anche se sarei felice di accennare a quel punto), ma piuttosto come le altre società che lavorano con Perl stanno gestendo questo problema. Come Perl Dev credo che il CPAN sia uno dei motivi per cui il Perl è ancora in giro per progetti più grandi. Non essere in grado di usare la roba che le persone hanno costruito, documentato e accuratamente testato per me, mi sembra di avere le gambe mozzate.
Sarei molto grato di storie di guerra all'interno dello stesso contesto, esperienza personale o riferimenti ad altre aziende che utilizzano CPAN e sono conformi PCI e potrebbero essere disposti a parlarne a livello professionale.