Как проверяете приватные репозитории?

Question

[Krasher64]

Привет!
Поделитесь опытом как проверяете репутации репозиториев.
Если с гитхаб все более менее понятно, то как проверяете приватные или не популярные? Какой алгоритм проверок?

Comments

[Everything_is_bad]

слишком мало контекста, ответ, от никак, до у нас запрещено использовать подобный софт

[Krasher64]

Контекст:
"Приходит разработчик и просит для реализации своей идеи разрешить скачивать либы с некоего репозитория"
Ваши действия?

[Everything_is_bad]

Krasher64, контекста так и нет, уровень организации, за что отвечает используемый софт и т.п. А так, спрашиваю у безопасников, что у них по этому поводу в регламенте, если такое нет, там значит организации пофиг на эту проблему, можно пообщаться с тимлидером команды и уточнить у него про на ком будет ответственность.

[GavriKos]

Krasher64, вопрос крайне общий, и звучит скорее как опрос. Зависит от тонны вещей. В банке за такое и по жопе дадут, как ты не проверяй. А в геймдеве только порадуются экономии.

Единственные два общих критерия пожалуй:
- то что сказал Everything_is_bad - проверка полиси компании - в целом такое разрешено или нет
- проверка лицензии "некоего репозитория"

[Krasher64]

Как раз таки прошу поделиться опытом.

как я вижу:
- проверка ссылки на репу через вирус тотал
- ссылаются ли на этот репозиторий и кто
глубже:
- если мало информации, то проверить либы которые необходимо разработчику