“O que falta aos desenvolvedores é o feedback inicial no momento em que a decisão de dependência é tomada”, disse Sonu Kapoor, criador e mantenedor do projeto, ao CSO. De acordo com Kapoor, os fluxos de trabalho tradicionais centrados em CI geralmente desconectam os desenvolvedores das escolhas de dependência que introduziram o risco em primeiro lugar.

A CLI do CVE Lite verifica arquivos de bloqueio npm, pnpm e Yarn usando dados e declarações de vulnerabilidade OSV para se concentrar fortemente na orientação de correção, incluindo a separação de vulnerabilidades diretas e transitivas, validação de alvos de atualização e recomendação de caminhos de correção acionáveis.

O projeto está sendo apresentado como uma ferramenta de desenvolvedor “local-first”, em oposição a um substituto para plataformas de análise de composição de software empresarial (SCA), da mesma forma que os desenvolvedores já usam ESLint ou testes de unidade localmente antes que o CI os execute novamente mais tarde.

CVE Lite CLI tem como alvo um ponto problemático esquecido

O CVE Lite CLI está essencialmente tentando resolver um problema de fluxo de trabalho, com o qual Kapoor diz que muitos desenvolvedores lutam silenciosamente. As verificações de segurança de dependência geralmente chegam depois que o trabalho já foi concluído.

Juliana Ribeiro
Juliana Ribeiro

Juliana Ribeiro é uma respeitada e talentosa redatora que trabalha do Tudo SEO. Com um profundo entendimento das nuances do SEO e seu impacto na visibilidade digital, Juliana usa sua expertise para educar e inspirar os leitores.

Entrando na indústria da escrita como redatora freelancer, ela rapidamente subiu na hierarquia para se tornar uma voz confiável no campo do SEO. Sua jornada na revista é marcada por muitos artigos perspicazes que ajudaram muitas empresas a entender melhor e aproveitar o SEO para melhorar sua visibilidade online.

Juliana também dedicou uma grande parte de seu tempo para estudar as últimas tendências em SEO e manter-se atualizada sobre todas as mudanças no algoritmo do Google. Através de seu trabalho, ela se esforça para quebrar conceitos complexos em ideias fáceis de entender para profissionais de marketing de todos os níveis.