2024-04-02T18:11:32 GwenDragonPerl ist da nicht anders als andere Software auch. Ich weiß nicht, von wem Du da einen Review erwartest, insbesondere für CPAN mit seinen tausenden von Karteileichen? Kennst oder verwendest Du CPAN::Audit?Was mich so nervt, dass niemand weiß ob/wie Module einen Review bekommen, oder ob wir Programmierer:innen ohne Auditing-Erfahrungen einfach nur "treudoof" vertrauen sollten.
2024-04-02T18:11:32 GwenDragonDa kann man sich zum Beispiel an die Debian-Security-Listen und deren Prozedere bei Security-Themen dranhängen: Perl spielt für Debian eine Rolle in der Bereitstellung der Distribution. Bei Modulen, die nicht als Pakete von Debian bereitgestellt werden, oder wenn man unbedingt die neueste Version zu brauchen meint, hilft das natürlich nichts.Ja, und wenn wir Glück haben patcht irgendjemand Lücken in Perl-Core, aber weniger in weiteren Modulen?
2024-04-02T18:11:32 GwenDragonDazu steht einiges in perlsecpolicy.Und eine Mailingliste für Perl und Vulnerabilities oder ein spezielles Unterforum, gibt es das um dort mal was rein zu werfen!?
2024-04-02T18:11:32 GwenDragon"Professionell" gibt's für Geld. Ich habe einige Jahre lang mein Gehalt genau dafür bekommen: Verfolgen der einschlägigen Security-Mailing-Listen, der Advisories der Anbieter, deren Software wir verbauen, selber testen und Tests auswerten... Zum Spaß hätte ich das nicht gemacht.Es verbleibt das ungute Gefühl, dass Perls als absterbende Sprache zu wenig professionelle Beachtung wegen Vulnerabilities bekommt.