يجب أن تفترض بشكل أساسي أنه لا شيء آمن، وهذا لا يعمل بشكل جيد أيضًا.
قبل أيام قليلة فقط، اتضح أن أحد المطورين وراء حساب NPM لبعض حزم ESLint Prettier قد تم اختراقه ونشروا إصدارات مخترقة جديدة لبعض الحزم الشائعة:
تمت الإشارة إلى هذه الحزم بعد ذلك في حزم أخرى، لأن الكثيرين يدعون أنه يجب عليك دائمًا التحديث إلى أحدث الإصدارات.
بعد أن رأيت هذا الموضوع، اقترحت ميزة لإدخال التحقق من توقيع المكونات الإضافية / السمات عند تحديثها: Plugin and theme component signing
هذا لن يوقف مفتاحًا مخترقًا، ولكنه على الأقل سيجعل جزءًا من سلسلة التوريد أكثر موثوقية. في النهاية، لا يزال من الممكن سحب مكتبات طرف ثالث مخترقة. التبعيات الإضافية ليست مرئية حقًا.