Eu me pergunto por que @npmjs não muda seu processo de publicação para uma experiência de usuário semelhante a multisig: - Primeiro, o GH Actions propõe uma nova versão, com proveniência - Depois, os mantenedores a aprovam - Finalmente, é publicada após N aprovações Até mesmo impor isso para pacotes populares.