по идее, нужен некий центр сертификации, который ставил бы approve на все популярные пакеты, а в случае не очень популярных пакетов, разработчик добавлял бы исключения вручную, тем самым обозначая своё доверие тем или иным авторам малоизвестных пакетов
и если pip/pipenv/... натыкается на пакет, который не был обозначен как доверенный центром сертификации популярных пакетов и ключ автора не был помечен как доверенный вручную, то тогда ошибка
и вот с этим вот нужна интеграция с IDE, чтобы открыл условный requirements.txt, а PyCharm бы поставил галочки слева от каждой строчки, обозначая, что такие пакеты на PyPi есть и они в списке доверенных согласно каким-то правилам (списку доверенных центров сертификации пакетов и списку доверенных ключей автора пакетов)