パッケージ熟成期間を設定して、サプライチェーン攻撃をやり過ごす方法

どうも、AIエンジニアの@noprogllamaです。 3月24日、AIライブラリのLiteLLMが侵害されました。GitHubスター4.1万、PyPI月間ダウンロード約9,700万（3/25現在）のプロジェクトです。侵害されたバージョンをインストールすると、SSHキー、APIキー、環境変数、AWSやGCPの認証情報、暗号資産のウォレットまで抜かれます。 私はこういう事態の直撃を受けないように、以前よりある対策を施しています。設定は軽いものだと5分で終わり、一度入れたら基本的に手間はかかりません。今回はAIを扱うMacユーザーが普段使うパッケージマネージャーについて中心に紹介したいです...