A complexidade da cadeia de suprimentos de software ¨¦ um grande risco, e n¨®s a abordamos isso extensivamente, por exemplo, em nossos artigos sobre SBOM e SLSA. O calcanhar de Aquiles para a maioria das equipes ainda ¨¦ a presen?a de vulnerabilidades em depend¨ºncias, muitas vezes depend¨ºncias indiretas em v¨¢rios n¨ªveis. Ferramentas como Dependabot ajudam criando pull requests (PRs) para atualizar as depend¨ºncias. No entanto, ¨¦ preciso disciplina de engenharia para cuidar dessas PRs de forma r¨¢pida, especialmente quando s?o para aplicativos ou servi?os que n?o est?o em desenvolvimento ativo. Nas circunst?ncias certas, agora defendemos o uso do merge autom¨¢tico de PRs de atualiza??o de depend¨ºncia. Isso requer que o sistema tenha cobertura de teste extensiva ¡ª n?o apenas testes de unidade, mas tamb¨¦m testes funcionais e de desempenho. A pipeline de compila??o (build) deve executar todos esses testes e deve incluir a varredura de seguran?a. Em resumo, a equipe deve ter total confian?a de que, quando a pipeline for executada com sucesso, o software estar¨¢ pronto para ser colocado em produ??o. Nesses casos, as PRs de atualiza??o de depend¨ºncia, mesmo quando incluem atualiza??es de vers?o principal em depend¨ºncias indiretas, devem ser mescladas (merged) automaticamente.
