• [^] # Re: Personnellement j'évite Python ...

    Posté par . En réponse au journal La cochonnerie en boite que sont les systèmes de dépendances. Évalué à 3.

    Comme tous les gestionnaires de dépendances sans validation explicite pour ajouter du code au dépôt, c'est vrai pour npm, pour pip, pour cargo, pour les ppa ...

    D'ailleurs dans l'absolu même les dépôts debian ne sont pas à l'abri d'une supply-chain attack non plus (même si la barre est plus haute): si quelqu'un parvient à usurper l'identité d'un mainteneur en vacances, tu peux te retrouver avec une bibliothèque vérolée ... Des trucs comme ça sont déjà arrivés sur npm. Après on peut imaginer que le côté communautaire de Debian rend la barrière plus dur à franchir.