Vous devriez essentiellement supposer que rien n’est sûr, ce qui ne fonctionne pas bien non plus.
Il y a quelques jours à peine, on a appris que l’un des développeurs derrière le compte NPM de certains packages ESLint Prettier avait été compromis et avait publié de nouvelles versions compromises de certains packages populaires :
Ces packages ont ensuite été référencés dans d’autres packages, car beaucoup prétendent qu’il faut toujours mettre à jour vers les dernières versions.
Après avoir vu ce fil, j’ai suggéré une fonctionnalité pour introduire la validation de signature des plugins/composants de thème lors de leur mise à jour : Plugin and theme component signing
Cela n’arrêterait pas une clé compromise, mais rendrait au moins une partie de la chaîne d’approvisionnement plus digne de confiance. En fin de compte, il est toujours possible que des bibliothèques tierces compromises soient incluses. Les dépendances supplémentaires ne sont pas vraiment visibles.