来源: https://news.ycombinator.com/item?id=47501729
我是LiteLLM的维护者,目前情况仍在变化,但以下是我们目前所了解的情况:
-
看起来这源自我们 CI/CD 中使用的 trivy - Repository search results · GitHub… Redirecting...
-
如果您使用的是代理 Docker,则不受影响。我们在 requirements.txt 文件中指定了版本。
-
该软件包在 PyPI 上被隔离——这会阻止所有下载。
我们正在调查此事,并研究如何加强安全措施。对此我深表歉意。
- 克里什
更新:
受影响的版本(v1.82.7、v1.82.8)已从 PyPI 中删除。所有维护者帐户均已更改。所有 GitHub、Docker、Circle CI 和 pip 的密钥均已删除。
我们仍在检查项目,看看是否还有其他不足之处。
如果您是安全专家并愿意提供帮助,请给我发邮件 - [email protected]
个人点评:
没想到litellm维护者维护程度这么低