Qualcuno può condividere un'architettura o un framework che supporti l'uso del software Open Source negli ambienti di sviluppo del software aziendale?
Sto cercando soluzioni per gestire e mitigare il rischio di librerie e dipendenze compromesse in CRAN e NPM.
Sto cercando architetture di riferimento per soddisfare i professionisti IT Security, consentendo agli sviluppatori di sfruttare la potenza dei repository pubblici e dei gestori di pacchetti (con la loro risoluzione delle dipendenze).
Pur riconoscendo che questo è un altro vettore di attacco, cerco soluzioni pratiche / esempi / strumenti che aiutino a trovare un equilibrio ragionevole.
Ho sentito parlare dei mirror interni del repository; Sandbox per test di sicurezza, prima di promuovere la produzione; Piattaforme di integrazione continua ecc.
Qual è lo stato del pensiero corrente tra la comunità della sicurezza e quali sono le migliori pratiche?
Grazie