Mais c'est bien plus facile de sécuriser une chaîne de dépendance, dont le principe est toujours le même, que tout le code.
C'est comme si tu comparais l'ensemble des dépendances (avec leurs devs, leurs machines, réseaux, autres ressources) avec l'ensemble des lignes de codes, dont toutes peuvent introduire une faille.
Il y a évidemment bien davantage de lignes de codes.
Ce que je constate dans les "vieux" projets PHP sans Composer, c'est que les libs non patchées restent présentes. Avec leurs failles et autres problèmes. Et qu'il n'y a pas de moyen de les détecter facilement (composer audit).
Certes le problème diffère un peu avec JS où il y a vraiment trop de dépendances, mais c'est plutôt l'exception.
[^] # Re: Petite question à ceux qui "baignent" encore dans le C
Posté par damiend . En réponse au journal Vulnérabilités multiples dans sudo-rs. Évalué à 2.
Mais c'est bien plus facile de sécuriser une chaîne de dépendance, dont le principe est toujours le même, que tout le code.
C'est comme si tu comparais l'ensemble des dépendances (avec leurs devs, leurs machines, réseaux, autres ressources) avec l'ensemble des lignes de codes, dont toutes peuvent introduire une faille.
Il y a évidemment bien davantage de lignes de codes.
Ce que je constate dans les "vieux" projets PHP sans Composer, c'est que les libs non patchées restent présentes. Avec leurs failles et autres problèmes. Et qu'il n'y a pas de moyen de les détecter facilement (composer audit).
Certes le problème diffère un peu avec JS où il y a vraiment trop de dépendances, mais c'est plutôt l'exception.