アップデート:ありがたいことに、この質問には infosecurity で徹底的に答えられています。 https://security.stackexchange.com/a/139203/112311
最も人気のあるディストリビューションでは、パッケージがリポジトリに追加される前にどのような対策が講じられているかに関する情報を見つけるのに苦労しました。
パッケージの整合性はリポジトリからユーザーまで検証されることは理解していますが、セキュリティの観点から、開発者からリポジトリまで、いつ、どのようにチェックされるのかが特に気になっています。新しい送信時に実行されるスクリプトはありますか? または、頻繁にロールバックされ、パッケージとその動作をテストするためだけに使用されるマシンはありますか?
たとえば、Apple の App Store では、開発者が非公式のソースを使用したために、誤ってマルウェアをホストしてしまったことがありますxcode。