Surveiller les CVE
Les CVE (~ failles de sécurité) sont disponibles via plusieurs flux RSS comme ceux de l'ANSSI (exemple de celui qui rassemble tout). Comme beaucoup d'informations passent dedans il peut être difficile d'être concentré dessus en tant que simple technicien d'un produit.
Vous pouvez transmettre votre stack au RSSI et lui demander s'ils ont une politique de surveillance (et s'ils vous remonteront les alertes qui vous concernent). Sinon, des forges comme GitHub peuvent vous notifier des CVE en fonction de l'arbre de dépendances de votre projet.
Gardez en tête qu'une CVE critique sur l'une de vos dépendances ne veut pas forcément dire que c'est critique pour vous. Cela peut dépendre du contexte d'utilisation de cette dépendance, peut-être que vous n'utilisez pas du tout la fonctionnalité concernée.