botRuby Workspace Manager: 모노레포 관리를 위한 NX 스타일의 도구
Ruby Workspace Manager(RWM)는 JavaScript의 NX나 Turborepo처럼 대규모 모노레포에서 의존성 분석과 병렬 태스크 실행을 지원하는 도구다.
오픈소스 패키지 관리 중단 여부를 대규모로 식별하는 방법
관리되지 않는 오픈소스 패키지는 보안 취약점과 호환성 문제의 주요 원인이 되지만, 명시적 선언 없이 방치되는 경우가 많아 식별이 어렵다.
Dependabot-Core: 자동 의존성 업데이트를 위한 핵심 라이브러리 분석
Dependabot-Core는 GitHub의 자동 의존성 업데이트 기능을 구동하는 핵심 Ruby 라이브러리로, 다양한 언어와 패키지 매니저의 업데이트 로직을 포함한다.
CyberVeille.ch📢 Compromission de la chaîne d'approvisionnement du package Python num2words
📝 L'article publié le 28 juillet 2025 rapporte une **attaque de la chaîne d'approvisionnemen...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-28-compromission-de-la-chaine-d-approvisionnement-du-package-python-num2words/
🌐 source : https://www.stepsecurity.io/blog/supply-chain-security-alert-num2words-pypi-package-shows-signs-of-compromise
#dependency_management #incident_response #Cyberveille
📝 L'article publié le 28 juillet 2025 rapporte une **attaque de la chaîne d'approvisionnemen...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-28-compromission-de-la-chaine-d-approvisionnement-du-package-python-num2words/
🌐 source : https://www.stepsecurity.io/blog/supply-chain-security-alert-num2words-pypi-package-shows-signs-of-compromise
#dependency_management #incident_response #Cyberveille
Compromission de la chaîne d'approvisionnement du package Python num2words
L’article publié le 28 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement qui a compromis la version 0.5.15 du package Python populaire num2words, potentiellement liée à l’acteur de menace connu sous le nom de Scavenger. Le package malveillant a été publié sur PyPI sans les balises de dépôt correspondantes, ce qui a immédiatement suscité des inquiétudes. Grâce à une réponse rapide de la communauté et à la suppression rapide par PyPI, des dommages plus importants ont été évités. Les organisations utilisant ce package sont invitées à vérifier immédiatement leurs environnements, à rétrograder à une version antérieure non compromise, et à mettre en œuvre des mesures de sécurité renforcées pour la chaîne d’approvisionnement.
📢 Compromission de la chaîne d'approvisionnement via le package npm eslint-config-prettier
📝 L'article publié le 18 juillet 2025 par StepSecurity.io me...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-20-compromission-de-la-chaine-d-approvisionnement-via-le-package-npm-eslint-config-prettier/
🌐 source : https://www.stepsecurity.io/blog/supply-chain-security-alert-eslint-config-prettier-package-shows-signs-of-compromise
#dependency_management #dll_injection #Cyberveille
📝 L'article publié le 18 juillet 2025 par StepSecurity.io me...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-20-compromission-de-la-chaine-d-approvisionnement-via-le-package-npm-eslint-config-prettier/
🌐 source : https://www.stepsecurity.io/blog/supply-chain-security-alert-eslint-config-prettier-package-shows-signs-of-compromise
#dependency_management #dll_injection #Cyberveille
Compromission de la chaîne d'approvisionnement via le package npm eslint-config-prettier
L’article publié le 18 juillet 2025 par StepSecurity.io met en lumière un incident de sécurité de la chaîne d’approvisionnement impliquant le package npm populaire eslint-config-prettier. Plusieurs versions de ce package (10.1.6 à 10.1.9) ont été publiées avec des modifications malveillantes, sans changement de code correspondant dans le dépôt officiel. Les versions compromises contiennent un payload spécifique à Windows qui exécute un fichier DLL, ce qui pourrait affecter des milliers de projets mis à jour automatiquement par des outils de gestion de dépendances. Les organisations sont invitées à auditer immédiatement leurs dépendances et à revenir à des versions plus sûres pendant que l’enquête se poursuit.
Habr[Перевод] Год с uv — инструментом управления Python-проектами: плюсы, минусы и стоит ли переходить
uv — это новый инструмент управления Python-проектами, разработанный командой Astral. За год активного использования автор протестировал его в разных условиях: от учебных задач до сложных production-проектов. В статье — честный разбор сильных и слабых сторон uv, его отличий от других менеджеров окружений, реальных ограничений и сценариев, где он работает особенно хорошо.
https://habr.com/ru/companies/otus/articles/903578/
#dependency_management #uv #python #управление_пакетами #package_manager #pip #venv
RedPacket SecurityOpen Source Software Updates: 75% Likelihood of Breaking Your Apps - https://www.redpacketsecurity.com/open-source-updates-have-75-chance-of-breaking-apps/
#threatintel #open_source #dependency_management #vulnerabilities
Управление зависимостями в Javascript заходит на новый виток? Работа с ES модулями без сборщиков
Изначально эта статья задумывалась, как рассказ о различиях и назначении полей dependencies , devDependencies и peerDependencies в package.json . Эту тему выбрали ребята в моем телеграм-канале , кстати подписывайтесь, если еще не. Однако, когда я посмотрел количество контента на эту тему, то понял, что его достаточно даже в русском сегменте. При этом я прочитал одну статью , которая показалась мне очень хорошей, а также там были мысли на тему будущего управления зависимостями. В итоге, я решил кратко пересказать вышеупомянутую статью, чтобы лучше самому усвоить тему, а также набросать проект по управлению зависимостями прямо на клиенте, через ES Modules. Так что вы можете прочитать либо оригинальную и полную статью у автора, либо сокращенную версию в первой половине этой статьи. А разбор работы ESM будет во второй половине .
https://habr.com/ru/articles/825424/
#npm #yarn #pnpm #javascript #node #esm #commonjs #dependency_management #package_manager
[𝚜𝚒𝚍𝚗𝚎𝚢𝚜𝟷@~/𝚜𝚛𝚌]$
Interested to hear opinions on whether #dependency_management / #staticanalysis systems (think #nix, but not necessarily that) should have caught (in whole or in part) the #xz issue sooner.
Создание и использование BOM в Gradle
В каждой компании (а если она крупная, то, скорее всего, в каждом подразделении) должна быть выстроена культура использования BOM ( bill of materials ) для управления версиями зависимостей. В этой статье я хочу поделиться своим видением того, как это может быть организовано, а также рассмотреть более сложные случаи создания и использования BOM в Gradle-проектах.
https://habr.com/ru/articles/784784/
#jarhell #bom #java #gradle #gradle_kotlin_dsl #dependency_management #maven #transitive_dependencies #bill_of_materials
