La complejidad en la cadena de suministro de software representa un riesgo significativo, y lo hemos cubierto de forma amplia, por ejemplo, en nuestros escritos en SBOM y SLSA. El tal¨®n de Aquiles para la mayor¨ªa de los equipos, sigue siendo la presencia de vulnerabilidades en las dependencias, usualmente dependencias indirectas que existen en varios niveles inferiores. Herramientas como Dependabot ayudan mediante la creaci¨®n de pull requests (PRs) para actualizar dependencias. La pronta gesti¨®n de los PRs, especialmente cuando se trata de aplicaciones o servicios que no est¨¢n en un proceso activo de desarrollo, demanda un alto nivel de disciplina en el ¨¢mbito de ingenier¨ªa.
Bajo las circunstancias adecuadas, ahora recomendamos la incorporaci¨®n autom¨¢tica de PRs con actualizaci¨®n de dependencias. Para esto, el sistema necesita tener una cobertura de pruebas exhaustivas ¨C no solo pruebas unitarias, sino que tambi¨¦n pruebas funcionales y de performance. La etapa de construcci¨®n del pipeline debe ejecutar todos estos test, incluyendo escaneo de seguridad. En pocas palabras, el equipo debe tener total confianza que cuando el pipeline se ejecuta correctamente, entonces el software est¨¢ listo para llegar a producci¨®n. En estos casos, la actualizaci¨®n de los PRs con dependencias, deber¨ªan poder ser incorporados autom¨¢ticamente, a¨²n cuando incluyan actualizaciones mayores de versi¨®n en dependencias indirectas.
