 А как вы защищаетесь от зависимостей (npm, ruby gems, pip)? Они же имеют доступ к вашим файлам и могут украсть сессию Гитхаба и т. п. Одна идея — Docker (лучше Podman, так как там образы запускаются не из-за root). Но может можно настроить ограничения в SELinux? 4 comments
  @sitnik_ru GNU Guix или Nix. Они умеют в изоляцию + не трогают вообще ничего кроме своей директории. Там есть как системные пакеты, так и связанные с языками по типу пакетов js, python, ruby и т.д.  Стараюсь свести количество зависимостей к минимуму, используя только популярные проекты. Если можно быстро написать свой упрощённый велосипед, предпочитаю его вместо того чтобы тянуть лишнюю зависимость, особенно если из неё будет использоваться пара функций только. Можно дополнительно заморочиться с чрутом, докером или другой изоляцией (от всего сразу это не спасёт конечно), но не заморачиваюсь. Хотя вон глядя на то как composer пишет в консоль политические лозунги, заморочиться может и стоило бы. |
Gregory's Server
Стараюсь свести к минимуму использование менеджеров зависимостей, где сборочные скрипты являются полноценными программами