Ставя ПО из репов, я должен доверять мейнтейнеру и его PGP подписи. Что меня убережет от того, что один из нескольких мейнтейнеров ничего не подправит в сорцах перед сборкой и не добавит туда чего-нибудь для своей выгоды. Либо у него на машинке, где он эти пакеты собирает, есть какая-нибудь вредоносная хрень которая добавлять свое при сборке, а мейнтейнер об этом не знает или не утруждает себя излишней предосторожностью.
Хорошо бы, чтобы пакеты были подписаны хотя-бы двумя людьми, один из которых отвечает за поддержку ПО в дистрибутиве, а второй отвечает за безопасность. Причем этот второй желательно не должен иметь отношения к дистрибутиву.
Есть ли в последнее время какое-нибудь движение в эту сторону. Какой-нибудь организации, которая бы заявила, например : «Мы берем репы убунты и просто проверяем их». В свою очередь пакетный менеджер должен выдавать предупреждение крупным шрифтом красного цвета с кучей восклицательных знаков: «Ваш пакет имеет только одну подпись и не был проверен на безопасность»; и установка дальше не будет продолжатся без согласия пользователя, и опции «разрешить для всех» тоже не должно быть.
PS: Для андроида так-же актуально. Потому что я не знаю насколько можно доверять тому-же f-droid.
