如何判断GitHub发布是否安全

是否有可能判断在GitHub repo上发布的版本是由使用2FA登录的人发布的

问这个问题的原因是，我们有一个工具可以将GitHub版本（来自其他人的回购协议，即不是我们GitHub组织的一部分）集成到一个应用程序中，并且能够自动更新到最新版本

尽管自动更新对用户很友好，但如果有人窃取该GitHub用户的凭据（因为他们不使用2FA），那么自动更新可能最终安装恶意编写的代码。这种情况发生在NPMJ身上

能够识别该发布是由不使用2FA的人发布的，并警告该发布可能“不安全”，这将非常有用

我们的应用程序是Qooxdoo的一部分，Qooxdoo是一个开源Javascript开发框架