O alerta com o NPM trouxe um desafio interessante!
Eu assisti ao vídeo do Deschamps, aquele sobre o NPM que em uma campanha de phishing um mantenedor colocou em risco projetos importantes e resolvi criar uma ferramenta que se encaixa em uma pipeline fácilmente, pode ser utilizada para você conhecer melhor em relação a aspecto técnico de segurança se vai ou não instalar o pacote e até mesmo descobrir se uma determinada versão foi removida do registry por algum tipo de risco.
Qual o ponto essencial aqui? É que segurança importa a todo momento para você não expor o seu trabalho e os seus clientes a ameaças constantes na internet. Afinal de contas com a adoção da IA eles tem aumentado constantemente e com maior sofisticação, e isso não significa maior poder tecnológico, mas meios mais eficientes de explorar os mesmos recantos de conceitos existente ao extremo.
Confere lá e me diga! A ferramenta precisa de contribuição e fiz em uma tempestade de pensamentos sobre o assunto com spec kit + claude code. Todas as contribuições são super bem-vindas.