Man sollte im Grunde davon ausgehen, dass nichts sicher ist, was auch nicht gut funktioniert.
Erst vor wenigen Tagen wurde bekannt, dass einer der Entwickler hinter dem NPM-Konto einiger ESLint Prettier-Pakete kompromittiert wurde und neue kompromittierte Versionen einiger beliebter Pakete veröffentlichte:
Diese Pakete wurden dann in anderen Paketen referenziert, da viele behaupten, man solle immer auf die neuesten Versionen aktualisieren.
Nachdem ich diesen Thread gesehen hatte, schlug ich eine Funktion vor, um die Signaturvalidierung von Plugins/Theme-Komponenten bei der Aktualisierung einzuführen: Plugin and theme component signing
Das würde einen kompromittierten Schlüssel nicht aufhalten, aber zumindest einen Teil der Lieferkette vertrauenswürdiger machen. Letztendlich ist es immer noch möglich, dass kompromittierte Drittanbieterbibliotheken eingezogen werden. Zusätzliche Abhängigkeiten sind nicht wirklich sichtbar.