Who will watch the watchmen Вчера прогремела новость о компрометации популярной библиотеки litellm. Предполагается, что атака стала возможной благодаря недавнему заражению сканера безопасности кода Trivy. Litellm использовала его актуальную версию, и в пайплайне засветился токен от PyPI, позволяющий публиковать версии. Эта кампания хорошо показывает, что карантин необходимо применять не только к релизам пакетов, но и к инструментам. В большинстве случаев вам вряд ли нужна самая последняя версия trivy/osv-scanner/trufflehog/pip-audit/..., поэтому можно ограничиться двухнедельной давности. Правда как соблюдать такой лаг и не поддаться искушению "зафиксируем версию 2026.02 и будем её использовать до скончания времён" — задача со звёздочкой) @disasm_me_ch 🥰😑🤡 Забустить