Autor: Yves Martin Data: A: guilde Assumpte: Re: pip et mise à jour de
sécurité
Je me corrige car j'ai écrit des conneries "obsolètes" à propos de
Golang et MinIO avant de vérifier l'état du "jour".
En fait il y a eu des améliorations notables depuis mes premières
investigations concernant le langage Go, et concernant les
vulnérabilités, Sonatype nancy, Snyk ou JFrog XRay sont là pour aider.
Au passage nancy trouve encore des vulnérabilités dans les dépendances
de la dernière version de MinIO.
On Sun, 2022-06-05 at 11:23 +0200, Yves Martin wrote: >
> Et pour étendre le débat, Python est quand même au point concernant
> les
> dépendances et le suivi des vulnérabilités, parce que les dernières
> "nouveautés" comme le Go me semble encore loin derrière...
> Exemple: la compilation de MinIO depuis les sources est effrayante,
> on
> peut y voir passer des versions multiples d'une même dépendances,
> j'imagine que le binaire résultant contient finalement plusieurs
> versions des mêmes méthodes... allez suivre les vulnérabilités d'un
> "monstre" pareil à la sortie. Mais oui, l'image Docker ne contient
> plus
> qu'un seul gros binaire.