CVE Lite CLI repère les dépendances à risque - Le Monde Informatique

Alors que les assistants de codage basés sur l'IA accélèrent le développement logiciel, un projet open source soutenu par l'Open worldwide application security project (Owasp) fait valoir que les outils de sécurité des dépendances arrivent encore trop tard pour être vraiment utiles. CVE Lite CLI, un scanner de vulnérabilités des dépendances JavaScript et TypeScript axé sur l'analyse locale des lockfiles, s'articule autour d'une idée simple. Les développeurs devraient identifier les risques liés aux dépendances pendant qu'ils écrivent encore le code, et non plusieurs heures plus tard au sein d'un pipeline d'intégration continue défaillant. « Ce qui manque aux développeurs, c'est un retour d'information précoce au moment où ils doivent prendre leurs décisions sur les dépendances », a déclaré Sonu Kapoor, créateur et responsable du projet. Selon M. Kapoor, les workflows traditionnels centrés sur l'intégration continue (CI) coupent souvent les développeurs des choix de d...
[Courte citation de 8% de l'article original]