Meiner Ansicht nach wird der vendor bei Packagist schon reserviert, niemand ausser dem “Ersten” kann dann noch Pakete mit dem betreffenden vendor in der composer.json anlegen.
