Bis Du verstanden hast, ob die neue Version eines von Dir verwendeten Pakets wirklich nur die Lücke patcht oder irgendwer den Account des Autors gehackt hat und noch etwas unerfreuliches eingeschmuggelt hat, ist die Lücke schon 100-mal ausgenutzt worden. Und bei Closed-source hast Du noch nicht mal die theoretische Chance, das zu beurteilen. Bevor Du weiter Deine Weisheiten verbreitest, google lieber mal nach Sonatype-Hack.
