Parler des "affaires" npm : event-stream,

[thom4parisot]

• [ ] left-pad (module supprimé, dépendants bloqués)
• [ ] npm worm (post-install, accès au système)
• [ ] event-stream (ajout d'un module de cryptomining)
• [ ] https://blog.npmjs.org/post/185397814280/plot-to-steal-cryptocurrency-foiled-by-the-npm

Pourquoi ?

Pour mesurer la diversité des vecteurs d'attaque. Et savoir si on est vulnérable, comment réagir, comment mettre à jour les modules.

[DirtyF]

Est-ce que la centralisation des dépendances et les initiatives pour y faire face entrent dans ce cadre des "affaires" ? https://github.com/entropic-dev/entropic/blob/master/docs/README.md#the-problem-for-real

[thom4parisot]

Je le voyais plutôt dans #377 — gouvernance & cie.

Mais au final, ce contenu a clairement sa place — que ça soit dans cette issue ou l'autre. Merci de l'avoir pointé 👍