Как бы не была крута автоматика, её работа тоже занимает время. И я не знаю ни одной конторы, которая скармливала бы свои code analyzer-ам вообще всё-всё-всё со всеми зависимостями.

А в open source проектах этим вообще особо не заморачиваются, на сколько я знаю.

Короче, supply-chain атаки - это очень и очень печально. И никто толком не знает, как от этого защищаться.

Раст позволяет не использовать крэйтс и карго.

Я бы посмотрел на растофанов, которым карго запретили. Вот это будет цирк. Там же сразу для хеловорлда нужно сотню пакетов подключать. Примерно как в жабаскрипте, но там и не пытаются косить под серьёзный инструмент. Все прекрасно понимают, что это параша для рисования кнопочек. А вот насчет раста есть недопонимание.

Вообще это все началось с CPAN (1993 год)

Он такой неудобный был, что всегда предпочитали пакеты из дистров. Так что это больше для ментейнеров инструмент. А если его сделать удобненьким и доступным, да и еще развести вокруг культ карго, то пиши пропало.

В нормальных конторах репы только через прокси и свои артефакты подписывают при релизе.

Короче, supply-chain атаки - это очень и очень печально. И никто толком не знает, как от этого защищаться.

Согласен, выхода нет. Еще не раскрыта гошечка со своим подтягиваем кода прямо из гитхаба.

мугага - теперь аргумент «у нас есть надежные репы где мы качаем весь софт, а в винде надо лазить и искать инсталлеры» не работает… и то и то по факту г-но

Ну вот так и произошло в итоге

Короче, supply-chain атаки - это очень и очень печально. И никто толком не знает, как от этого защищаться.

В Гугле уже знают. План действий и требования ко всем разработчикам (даже не из Гугла): Know, Prevent, Fix: A framework for shifting the discussion around vulnerabilities in open source (03.02.2021).

Во клоуны. Ведь это именно они насадили культуру подтаскивания зависимостей прямо из гитхаба. Ну пусть теперь отправят всех причастных отдохнуть на Колыму. Такой вот план предлагаю.

Ничего необычного, если подключил сторонний репозитарий и решил доверять его ключу то пакетный менеджер будет из него брать все обновления какие только сможет найти, так что это не баг, а фича.

Хотя конечно лучше бы эту фичу поправили дав возможность в source.lst явно указывать один или несколько шаблонов для названий пакетов которые можно брать из конкретного подключенного репозитария.

Я бы такое ещё пять лет назад предложил сообществу сделать такое, но понимал что мне скажут что такие улучшения нужны только мне и по этому я должен их оплачивать.

пока не поздно, почитай про всякие apt pinning preferences и прочее. оно там уже минимум в 2 десятка лет как есть. убунтята конечно же нео-силили

в го вроде как сумма пакета проверяется

Это оч крутой план (без сарказма), вот только он решает только часть проблемы. Supply-chain - это в том числе и атаки через поставщиков софта, которым пользуется компания. Для примера, из свеженького, можно почитать про 2020 US federal government data breach.

tl;dr - некоторые лица ломанули компанию Solarwinds, которая пишет софт для мониторинга и управления ИТ-инфраструктурой, и подсадили к ним с софт малваре. Малваре разлетелось по куче компаний, включая правительство США.