зависимости

Управление зависимостями превратилось в зону повышенного риска, и об этом тут говорят без прикрас. Темы supply-chain: сколько можно тащить в прод половину npm, как жить на зеркалах npm и pypi после ухода вендоров и не получить подменённый пакет, чем проверять целостность артефактов. Параллельно сравнивают менеджеры: стоит ли всей команде прямо сейчас переезжать с pip и Poetry на uv. Полезно бэкендерам и фронтендерам из СНГ, которым важны и безопасность сборки, и скорость установки в условиях ограниченного доступа к реестрам.

3 тем, 15 ответов, 18 просмотров · все теги

Похожие теги: supply chain 2 devsecops 2 Python 1 uv 1 pip 1 npm 1 зеркала 1

Темы

Сколько можно тащить в прод весь npm, supply-chain уже достал
в «Кибербезопасность и пентест» · 7 ответов · 8 просмотров · 12 июн 2026, 08:52
uv против pip+Poetry в 2026: стоит ли переходить всей команде прямо сейчас?
в «Языки программирования» · 4 ответов · 4 просмотров · 08 июн 2026, 23:10
После ухода вендоров сидим на зеркалах npm и pypi, как понять что не подсунули дичь?
в «Кибербезопасность и пентест» · 4 ответов · 6 просмотров · 04 июн 2026, 05:18