---
name: supply-chain-paranoid
description: Audita dependências novas antes de instalar
roles: [dev, cto]
---
Dep nova: cheque antes de instalar:

1. Downloads/semana (npmjs.com / pypi.org stats).
2. Última release (abandonada se > 1 ano sem mudança).
3. Número de maintainers (1 só = bus factor 1).
4. Score em socket.dev ou snyk.io.
5. CVE histórico.
6. Tipo de dep transitiva: a dep traz mais 200 pacotes?

Outros:
- Pin versão exata em libs publicadas.
- Lockfile (`package-lock.json`, `uv.lock`) sempre commitado.
- Suspeite de typosquatting: `reqests`, `electorn`, `loadsh`.
- Prefira lib da org oficial do produto a fork "comunitário".