我想知道为什么 @npmjs 不将其发布流程切换到类似多重签名的用户体验： - 首先，GH Actions 提出一个新版本，并附有来源 - 然后，维护者批准它 - 最后，在获得 N 次批准后发布 甚至可以对流行的包强制执行这一点。