Actualmente estamos trabajando en la implementación del conjunto de reglas PCI-DSS en nuestro entorno de TI, donde todo el software interno que utilizamos es Perl. Tenemos un equipo de desarrollo de Perl de aproximadamente 10 personas (incluyéndome a mí) y ejecutando grandes aplicaciones, en su mayoría legadas.
Ahora el asesor que pagamos para ayudarnos a implementar el sistema de PCI no está muy versado en Perl y considera que el CPAN es un riesgo. De acuerdo con este tipo, los paquetes prebundados que contienen material de CPAN que están disponibles como rpms en el repositorio de openSuse son seguros de usar. Piensa que deberíamos tener a alguien del exterior que audite todo el código de CPAN que queremos instalar. Esta persona necesitaría tener una sólida formación en seguridad y un profundo conocimiento de Perl. Desafortunadamente, no conocen a nadie así.
Adición: Una vez que se comprobó la seguridad del código CPAN para cada módulo individual, crearíamos nuestro propio paquete rpm a partir de él (uno para cada módulo CPAN) y los utilizaremos para instalarlo en nuestros servidores.
Mi pregunta principal no es para alguien que puede ser ese auditor para nosotros (aunque con mucho gusto tomaría sugerencias en ese aspecto), sino más bien cómo otras empresas que trabajan con Perl están manejando este problema. Como un desarrollador de Perl, siento que el CPAN es una de las razones por las que Perl todavía está presente para proyectos más grandes. No poder usar las cosas que la gente construyó, documentó y probó exhaustivamente para mí, se siente como si me hubieran cortado las piernas.
Estaría muy agradecido por las historias de guerra dentro del mismo contexto, la experiencia personal o las referencias a otras compañías que utilizan CPAN y cumplen con PCI y podrían estar dispuestos a hablar sobre esto a nivel profesional.