GitHub在 GitHub Actions 上引入了 npm 包的出处。通过使用特殊的出处标志，包维护者可以让消费者相信输出的包是使用链接的源存储库构建的。借助 npm 包管理器，使用 JavaScript 的开发人员可以使用数千个包来为他们的项目添加新特性和功能。

为了帮助说明为什么这种开发是有用的，GitHub 表示大多数人不会将随机 USB 插入他们的计算机以防它有恶意软件。这与在 npm 上找到的包相同。虽然代码可能是开源的，但您实际上并不知道该包是否是从该源代码构建的。有了出处，npm 包可以链接到源代码。

据 GitHub 称，在过去的几年中，攻击者对UAParser.js、Command-Option-Argument 和 rc 等流行的 npm 包进行了攻击。它说这些攻击不会直接破坏源代码，而是使用受损的凭据来发布恶意版本的包。通过实际链接已发布的软件包和源代码，消费者可以更加确定他们安装的是可信软件。