Je me demande pourquoi @npmjs ne change pas son processus de publication pour un UX semblable à un multisig : - D'abord, GH Actions propose une nouvelle version, avec provenance - Ensuite, les mainteneurs l'approuvent - Enfin, elle est publiée après N approbations Il faudrait même l'imposer pour les paquets populaires.