Alguien mencionó que los linters habrían ayudado no solo a mantener el código mejor y más amigable, sino también más seguro.
ESlint tiene una regla para indicar, por ejemplo, usar {} que podría haber ayudado a evitar el error "goto fail;" en los productos Apple de hace unos años.
¿Cuál sería la mejor manera de transmitir este mensaje desde una perspectiva de seguridad a un gerente de desarrollo para usar una plantilla (Ej. ESlint) como parte de las "herramientas" de los desarrolladores?
Debido a que está hablando con un gerente, hable con ellos en términos que tengan sentido para su mundo: los costos.
Linting evita que se cometan errores antes, lo que acelera el proceso de liberación y reduce los costos.
En términos de asegurar un producto, algunos indicadores proporcionan reglas para detectar errores de seguridad comunes que dicen que un desarrollador junior puede no conocer. También puede crear reglas específicas para las reglas de lógica de negocios que quiera aplicar según su pila.
Esto se inscribe en la mentalidad de cambio a la izquierda del desarrollo de software: mi favorito personal es SonarLint, ya que he escrito reglas de seguridad para Java, XML y C # y, una vez escritas, se proporcionan a los desarrolladores con la herramienta instalada en su IDE y impuesta sin que ellos necesiten conocer la regla, aparte de que deben seguirla.
Debes decirle a tu administrador que el objetivo de lint es seguridad por definición.
Por ejemplo, en el desarrollo de Android, eso es exactamente lo que se indica en la documentación oficial.
Le mostraría esto y le explicaría que lint es una práctica estándar para evitar que ocurran algunos problemas de seguridad.
Lea otras preguntas en las etiquetas source-code secure-coding code-review