A segurança de dependência não deve parecer um evento especial. Deve ser como linting, teste ou verificação da saída do build antes do lançamento. Em outras palavras, deveria se tornar uma parte normal do ciclo de engenharia.
Esse é o argumento mais forte para o CVE Lite CLI. Ele ajuda a transformar a segurança de uma função de controle distante em um hábito diário do desenvolvedor.
Para caminhos de dependência que exigem mais de um ajuste, um fluxo de trabalho de digitalização, correção e nova verificação pode ser materialmente mais rápido do que depender apenas de feedback repetido de CI. Se os desenvolvedores puderem verificar localmente o estado de dependência baseado em lockfile, entender o que é direto, entender o que é transitivo, ver os caminhos de dependência e obter uma noção confiável do que corrigir antes do lançamento, então a segurança de dependência deixa de ser uma política abstrata e começa a se tornar uma engenharia prática.
É disso que o ecossistema JavaScript mais precisa.
O Node.js não precisa de mais saída de segurança teatral. Precisa de uma melhor infraestrutura de fluxo de trabalho do desenvolvedor. Precisa de ferramentas que possam dar respostas claras, imediatas e de baixo atrito, enquanto ainda há tempo para agir. Precisa de ferramentas que tornem o risco de dependência visível no mesmo local onde as decisões de dependência são tomadas.
Um fluxo de trabalho local e com reconhecimento de lockfile aponta nessa direção.
E se o objetivo é tornar a segurança de dependências uma parte real da prática diária de engenharia de software, então a verificação local de arquivos de bloqueio deve parar de ser tratada como um nicho extra. Deve se tornar uma parte normal do conjunto de ferramentas do desenvolvedor.
