¿Puede alguien compartir una arquitectura o un marco que admita el uso de software de código abierto en entornos de desarrollo de software empresarial?
Estoy buscando soluciones para administrar y mitigar el riesgo de bibliotecas y dependencias comprometidas en CRAN y NPM.
Estoy buscando arquitecturas de referencia para satisfacer a los profesionales de seguridad de TI, mientras que les permito a los desarrolladores explotar el poder de los repositorios públicos y los administradores de paquetes (con su resolución de dependencia).
Aunque reconozco que este es otro vector de ataque, estoy buscando soluciones prácticas / ejemplos / herramientas que ayuden a encontrar un equilibrio razonable.
He escuchado mención de espejos de repo internos; Arenales para pruebas de seguridad, antes de promocionar a producción; Plataformas de integración continua, etc.
¿Cuál es el estado del pensamiento actual entre la comunidad de seguridad y existen prácticas recomendadas?
Gracias