Ah, encontrei uma resposta aqui: link
Os pacotes da comunidade geralmente não são seguros para uso em produção e devem ser internalizados para seguir os requisitos da sua organização, e as fontes aprovadas também devem ser gerenciadas internamente.
Eles são, no entanto, um bom ponto de partida.