При установке модуля npm я получил сообщение:
This plugin is not digitally signed and its authenticity cannot be verified.
Это пугает охранников. Поэтому я решил подписать развернутые пакеты. Я нашел PKSign для использования в локальной командной строке. В документации npm упоминается sign-git-tag, но я заблудился, документация по публикации пакета не содержит подписи.
Как это сделать при использовании среды CI, которая запускается при публикации в master ветке