На днях плохие парни скомпрометировали суперпопулярный ИИ-пакет litellm на PyPI, у которого около 3 млн скачиваний в день. Вредоносный код в свежих версиях целенаправленно пылесосил SSH-ключи, доступы к AWS, пайплайнам и даже криптокошелькам. В моем текущем стеке питона почти нет, но от этой новости я словил флешбэк. В моем прошлом проекте "Масштаб" ребята отхватили похожую проблему - поймали критическую уязвимость React2Shell, которая позволяла удаленно выполнять код. Глядя на такие факапы, я лишний раз убеждаюсь в правиле, которое стабильно экономит мне нервы: я никогда не ставлю самую последнюю версию библиотеки, прошивки и так далее. Я всегда стараюсь отставать на 1–2 минорные версии. Почему это идеальный баланс: Версия еще не слишком старая, чтобы известные дыры начали массово эксплуатировать всякие бармалеи. Она уже не слишком новая, чтобы случайный баг неопытного контрибьютора сломал вам всю инфраструктуру. (НОВОЕ): за пару дней комьюнити уже успевает проверить её на предм