A segurança da cadeia de suprimentos de software tornou-se uma preocupação comum entre as equipes de entrega, refletida no crescente número de ferramentas e técnicas no espaço, várias das quais já abordamos anteriormente no Radar. A crescente popularidade de ferramentas baseadas em GenAI como auxiliares no processo de desenvolvimento de software introduziu um novo vetor de ataque à cadeia de suprimentos de software: alucinações de pacotes. Acreditamos que é importante que as equipes que usam essas ferramentas GenAI em seu processo de desenvolvimento fiquem vigilantes contra esse risco. Para garantir isso, as equipes podem realizar verificações de saúde de dependências para combater alucinações de pacotes: olhar a data de criação, o número de downloads, os comentários e as notas atribuídas, número de colaboradores, histórico de atividade e assim por diante antes da decisão final de adoção da ferramenta. Algumas dessas verificações podem ser realizadas em repositórios de pacotes e no GitHub, e ferramentas como deps.dev e Snyk advisor que também podem fornecer informações adicionais. Embora não seja uma técnica nova, ela está ganhando de volta a sua relevância à medida que as equipes experimentam cada vez mais ferramentas GenAI em seu processo de desenvolvimento de software.
