Segurança na cadeia de dependências (supply chain)

Cada `npm install` puxa uma árvore enorme de confiança. Sem lockfile versionado, builds não são reprodutíveis e vulnerabilidades entram sem audit trail.

Automatize varredura (SCA) no CI, mas não ignore falsos positivos em massa — afinar política (severidade, licenças) mantém o canal útil. Updates de patch devem ser rotina; majors exigem changelog e testes.

SBOM exportado com releases ajuda clientes regulados e acelera resposta a CVEs. Combinado com assinatura de artefactos, reduz-se risco de substituição maliciosa no pipeline.

Cultura importa: ninguém deve sentir que «pedir tempo para rever dependência» é bloqueio — é parte do craft de engenharia.