基本的に何も安全ではないと想定すべきですが、それはうまく機能しません。
ほんの数日前、ESLint Prettier パッケージの NPM アカウントの背後にある開発者の 1 人が侵害され、いくつかの人気のあるパッケージの侵害された新しいバージョンが公開されたことが明らかになりました。
これらのパッケージは、多くの人が常に最新バージョンに更新すべきだと主張しているため、他のパッケージで参照されていました。
このスレッドを見た後、プラグイン/テーマコンポーネントを更新する際に署名検証を導入する機能を提案しました: Plugin and theme component signing
それは侵害されたキーを停止しませんが、少なくともサプライチェーンの 一部 をより信頼できるようにします。結局のところ、侵害されたサードパーティライブラリが引き込まれる可能性は依然としてあります。追加の依存関係は実際には表示されません。