「とりあえずSSH keyとGPG keyは暗号化したとしてもHOMEに置きたくないし、agentも何も信用できないのでハードウェアトークンに入れてる。
一つ言えるのはインストールや、下手したらメタデータを取るだけでも信頼できないコードを実行しようとするnpmとsetuptoolsとextconf.rbは滅んでほしい」https://twitter.com/yugui/status/1620585521146908672