Какие ограничения, кто фильтрует пакеты, следит за актуальностью, безопасностью и т.д.?

Никаких ограничений, полный анархокоммунизм. Следит сам автор. Адекватные авторы просто прикручивают хук к гиту.

как было в полтора года назад с npm

Твоя ссылка не работает, но ЕМНИП там мужик обиделся на хипстеров и отозвал свой пакет который был в зависимостях у туевой хучи других пакетов и от этого всё встало раком. При коммунизме такого быть не может. Во-первых автору нет никакого смысла отзывать пакет из packagist т.к. никто его там не прессует ибо всем пофиг. Во-вторых всегда можно добавить в composer.json прямую ссылку на гитхаб и всё отрезольвится.

В общем это базар, а не собор.

Твоя ссылка не работает

УМВР — https://pic4a.ru/ih-g/

ибо всем пофиг.

Хорошо, а как же тогда быть, есть кто-нибудь, гипотетически (паранойя, да) начнет пихать вредоносный код. Кто тестит, есть карантин какой-нить? Или что-то в этом роде, типа аутентификации, фейс контроль, короче.

С npm проблема была из-за отсутствия у пакетов нэймспейсов,
в packagist'e они есть, т.е., никаких проблем нет
для случая `your-company-name/package-name`.

Если тебе захочется залить свой пакет в чужой
(и возможно пока ещё не существующий)
неймспейс (например, `google/is-goolag` вместо `your-company-name/google-is-goolag`),
то проблемы наверняка будут.

Хорошо, а как же тогда быть, есть кто-нибудь,
гипотетически (паранойя, да) начнет пихать
вредоносный код.

Такое уже было, как минимум, на pypi. Так что переставай паранойиить.

Кто тестит, есть карантин
какой-нить? Или что-то в этом роде, типа
аутентификации, фейс контроль, короче.

Юзеры тестят, т.е., разработчики и их клиенты, которые
заиспользовали эти пакеты :).

Такой защиты нет и ни в одном дистрибутиве же.

Как говорится - опенсорс, посмотри каждый исходник,
при каждом обновлении смотри диффы и т.п.

Как говорится - опенсорс, посмотри каждый исходник, при каждом обновлении смотри диффы и т.п.

Короче, как обычно, собирай грабли enjoy your opensource!

Кстати, сюда ещё подходит тема про выкуп расширений
для браузера и затем в одном из следующих апдейтах
напихивание в расширение всяких сюрпризов.

Если такого еще не было в pypi/gems/packagist/npm,
то рано или поздно тоже должно появиться.

Ага, тоже приходили в голову такие мысли, значит кто-то пилит подобное.

composer.lock

И вообще возможна ли там такая ситуация, как было в полтора года назад с npm

Те кто не умеет пользоваться файлом composer.lock должны страдать. Этот файл даже самому сочинять не надо, composer его сам создаёт.

хотелось бы знать насколько там все грамотно и безопасно сделано.

Сделано там всё совершенно безграмотно и совершенно не безопасно. Говорю как ментейнер пакета 8p8c/behat-cucumber-json-formatter.

Грамотно сделано в GuixSD.

Enjoy your dumb ass

Короче, как обычно, собирай грабли enjoy your opensource!

После composer install добавляешь composer.lock в репозитарий. Всё, версии пакетов зафиксированы. Хочешь накатить обновы? Прогони тесты. Что-то завалилось? Можно откатиться на предыдущий набор пакетов (взяв старый composer.lock из репозитория). Костыльно по сути, конечно, но лучше чем вообще никак.

Спасибо, это по делу.

есть кто-нибудь, гипотетически (паранойя, да) начнет пихать вредоносный код. Кто тестит, есть карантин какой-нить?

Ты о чём? Берёшь любую opensource лицензию и видишь там «PROGRAM „AS IS“ WITHOUT WARRANTY OF ANY KIND» или что-то в таком духе.