In sostanza, dovresti presumere che nulla sia sicuro, il che non funziona bene.
Solo pochi giorni fa è emerso che uno degli sviluppatori dietro alcuni account NPM di pacchetti ESLint Prettier è stato compromesso e ha pubblicato nuove versioni compromesse di alcuni pacchetti popolari:
Questi pacchetti sono stati quindi referenziati in altri pacchetti, poiché molti sostengono che si dovrebbe sempre aggiornare alle ultime versioni.
Dopo aver visto questa discussione, ho suggerito una funzionalità per introdurre la convalida della firma di plugin/componenti tematici durante l’aggiornamento: Plugin and theme component signing
Ciò non fermerebbe una chiave compromessa, ma almeno renderebbe una parte della catena di approvvigionamento più affidabile. Alla fine, è ancora possibile che vengano richiamate librerie di terze parti compromesse. Le dipendenze aggiuntive non sono realmente visibili.