El desarrollador Nemo publicó una propuesta en la que reclama que todos los gestores de paquetes incorporen soporte para "ganchos globales" (global hooks), con el fin de reforzar la seguridad de los ecosistemas de software de código abierto frente a ataques a la cadena de suministro. La idea, surgida en el subreddit de Arch Linux y ampliada en su blog, plantea que un sistema de hooks configurable permita implementar de forma unificada medidas como enfriamientos de dependencias (cooldowns), políticas de dependencias o bloqueo de paquetes maliciosos, sin depender de infraestructura adicional.
Nemo recuerda que ya existen contramedidas parciales, como los cooldowns de Homebrew o las políticas de Composer, y que proveedores como Socket, Datadog o Safedep ofrecen "firewalls" de paquetes basados en registros proxy, envoltorios de shell o proxies HTTPS. Sin embargo, considera que estas soluciones dependen de las API de los registros o del esquema de comandos, y obligan a desplegar infraestructura accesible solo a empresas.
Como prueba de concepto, Nemo construyó un sistema de políticas de dependencias para pnpm que cruza cada instalación con un feed de amenazas de StepSecurity. Documenta las limitaciones: los hooks de pnpm operan por workspace y no cubren instalaciones globales, npm no soporta hooks y Yarn solo los expone a través de plugins. Por el contrario, el helper de AUR Paru ya ofrece un hook PreBuild y Yay recibió mejoras para comprobaciones de cooldown, lo que demuestra la viabilidad técnica de extender la idea a feeds de amenazas.