Software horror: litellm PyPI supply chain attack.
https://x.com/karpathy/status/2036487306585268612
Minimální hygiena:
# Pinovat hashe, ne jen verze
pip install --require-hashes -r requirements.txt
# requirements.txt s hashi:
litellm==1.82.7 \
--hash=sha256:abc123...
# Audit před instalací
pip-audit # kontroluje CVE databáze
Silnější:
Spouštět pip install v sandboxu (Docker bez mount ~)
Private PyPI mirror s whitelist schválenými balíčky (Artifactory, devpi)
CI/CD: pinovat hashe, nikdy >= bez horní hranice
Sledovat pip-audit, socket.dev, deps.dev pro anomálie
Strukturální:
Minimalizovat počet závislostí vědomě
Preferovat závislosti s malým dependency stromem
U kritické infrastruktury: auditovat kód závislostí před upgrade
Workflow do budoucna
# Instalace z lock file (bezpečná — pip odmítne jakoukoliv změnu hashe)
pip install --require-hashes -r backend/requirements.lock
# Audit nainstalovaného venv (každý týden / před deployem)
pip-audit --path .venv
# Upgrade závislosti (změň verzi v requirements.txt, pak:)
pip-compile --generate-hashes backend/requirements.txt -o backend/requirements.lock
Proč dva soubory:
requirements.txt = čitelný source (lidé mění tady)
requirements.lock = strojově generovaný, nikdy ručně neupravovat — obsahuje hashes pro celý strom závislostí
73 product releases in 52 days. That's not a launch cadence - that's a different kind of company.
https://x.com/PawelHuryn/status/2036419947149119742
Boris Cherny, the creator of Claude Code, shared his entire setup.
He runs 5-10 Claudes in parallel. Half his coding happens from his phone.
https://x.com/startupideaspod/status/2036122417970684148
I got a private lesson on Claude Cowork & Claude Code
Michael Shellenberger, uznávaný americký publicista, spoluautor Twitter Files
https://x.com/SOS_projevu/status/2036452675223437727
Žádné komentáře:
Okomentovat