Интересное мнение про автоматические обновления, связанное с недавними атаками. Вкратце: не стоит бежать обновляться на свежую версию зависимости — пусть полежит недельку, сканеры уязвимостей от нескольких вендоров ее проверят, и уж потом можно обновляться. Благо в каком-нибудь dependabot это легко настраивается.

Похожий совет мне еще папа давал во времена, когда у нас появился первый домашний компьютер:) Связан совет был больше с тем, что он был довольно консервативен, а в новых версиях много чего ломалось. Похожие мысли слышал часто про обновление систем/инструментов и от разных коллег: после мажорного обновления лучше подождать первый патч. Ну и народную мудрость никто не отменял, да.