バイナリ依存関係：私たちが見落としている隠れたパッケージ

記事

• 標準的なマニフェストファイルに現れない、プリコンパイル済みバイナリ依存関係を調査
• ほとんどのエコシステムには、バイナリ依存とソース依存を追跡するツールが不足している
• バイナリが不透明でバージョン管理されていない場合、セキュリティと再現性にリスクが生じる

ディスカッション

• Bootstrappable Builds プロジェクト（すべてをソースからビルドするアプローチ）が根本的な解決策として挙げられている
• Nix flakes は、ネイティブバイナリを含む完全な依存関係ロックファイルを提供するとして高く評価されている
• Seth Larson の PyCon（Pythonコミュニティの大型カンファレンス）トークが、Python 視点の関連先行研究として言及されている

HN でディスカッションを読む

原文（英語）: Binary Dependencies: Identifying the Hidden Packages We All Depend On