____      _            _   _
|  _ \ ___| |_ _ __ ___| \ | | _____      _____
| |_) / _ \ __| '__/ _ \  \| |/ _ \ \ /\ / / __|
|  _ <  __/ |_| | | (_) | |\  |  __/\ V  V /\__ \
|_| \_\___|\__|_|  \___/|_| \_|\___| \_/\_/ |___/
            

grep -r "supply-chain" /noticias/

• Gerenciadores de Pacotes Precisam Relaxar
  Simon Willison 24/03/2026 21:11
  É sempre importante lembrar que ao instalar pacotes, mais vale a precaução do que a velocidade do Flash. A ideia de "cooldowns de dependência" é como dar um tempo para o pacote pegar um ar e para a comunidade dar uma olhada: "uma chance de detectar se foram subvertidos de alguma forma". Com os gerenciadores de pacotes como Yarn e npm adotando essas práticas, parece que a galera está finalmente ouvindo o chamado da segurança do supply chain. No fim das contas, é melhor prevenir do que remediar, né?
  #seguranca #python #supply-chain #packaging #npm
  https://simonwillison.net/2026/Mar/24/package-managers-ne...
• Malicioso litellm_init.pth no litellm 1.82.8 — ladrão de credenciais
  Simon Willison 24/03/2026 15:07
  O LiteLLM v1.82.8 entrou na lista de culpados da PyPI com um ladrão de credenciais escondido em um arquivo litellm_init.pth. Isso significa que pagando a taxa de instalação, você poderia dar de presente suas credenciais para o atacador sem nem precisar rodar o código. O PyPI agiu e isolou o projeto rapidamente, mas é um lembrete de que fazer "pip install" pode ser tão arriscado quanto abrir um arquivo .exe do Windows XP que promete te ensinar a ter uma conexão mais rápida com a internet.
  #open-source #python #pypi #supply-chain
  https://simonwillison.net/2026/Mar/24/malicious-litellm/#...