Door Anoniem: Dit is precies waarom al die taal specifieke "package managers" een slecht idee zijn. Npm en pypi zijn er maar twee, je hebt ook nog maven (java), crates (rust), docket images, en go zal ongetwijfeld ook zoiets hebben. Naar mijn mening zijn al die systemen Supply Chain Attacks waiting to happen ... maar ja, lekker makkelijk dus we maken iedereen er afhankelijk van zonder na te denken over de security implicaties ervan. Je noemt het lekker makkelijk, maar zie je dan een opzet voor je die wel werkt? Zelfs schatrijke partijen als Google en Apple slagen er niet in om hun appstores volledig integer te houden, ondanks het duidelijke commerciële belang dat ze daarbij hebben. Het heeft voor heel wat programmeertalen zin om ergens bij elkaar te hebben wat er allemaal beschikbaar is aan libraries, frameworks en dergelijke. Je elimineert het probleem dat hier speelt niet als iedereen het maar van de eigen website van de makers downloadt. Sites als GitHub, waar de bulk natuurlijk op staat, kunnen ook ...