Вадим
менеджер пакета может и ответственно к этому подошел но другие модули которые его используют могут обновляться в разное время - имеем несколько версий одного и того же модуля в зависимостях у разных модулей ну и вытекающие отсюда последствия
Ну ментейнер может указать что его пакет требует такую то зависимость в таком то диапазоне версий. С одной стороны он рискует тем что его пакет может сломаться при определенном сочитании определенных багов во внешних пакетах - и это сложно будет найти, с другой стороны так он позволяет переиспользование зависимостей и пользователь сам решает как упаковать и заполифилить либу
