Какие есть решения для контроля уязвимостей в пакетах (npm, docker, nuget, maven, etc)?

Question

[Денис]

Наверное многие слышали про недавние атаки через open source пакеты в NPM (например https://github.com/advisories/GHSA-97m3-w2cp-4xx6).
Понятно что для предотвращения таких атак нужны интегрированные решения контролирующие зависимости в сочетации с собственным сервером проксирующим репозитории пакетов. Например такие вещи умеют в том или ином виде Artifactory и Nexus в своих платных версиях
Какие еще есть решения для карантина пакетов? Желательно, чтобы они при этом стоили каких-то адекватных денег

Answer 1

[Сергей delphinpro]

Любой карантин подразумевает наличие черного или белого списков.
И тут возникают вопросы:

• Есть ли такие списки?
  
• Кто их будет финансировать?
  
• Стоит ли им доверять?
  

Comments

[Денис]

Пока решение видится так - черный список для совсем очевидных вещей и набор сканеров, например Synk перед выходом из карантина.